มัลแวร์ SuperCard X บนมือถือ

SuperCard X แพลตฟอร์ม Android Malware-as-a-Service (MaaS) ที่ไม่มีใครรู้จักมาก่อนกำลังสร้างกระแสในโลกของอาชญากรรมทางไซเบอร์ โดยแพลตฟอร์มนี้ช่วยให้ผู้โจมตีสามารถทำการโจมตีด้วย NFC (Near-field communications) ส่งผลให้สามารถทำธุรกรรมฉ้อโกงและถอนเงินจากตู้ ATM ได้ โดยเชื่อว่ามัลแวร์ตัวนี้มีเป้าหมายที่ลูกค้าธนาคารในอิตาลี และได้รับการโปรโมตผ่านช่องทาง Telegram ทำให้ขยายขอบเขตการเข้าถึงผ่านเครือข่ายอาชญากรทางไซเบอร์ใต้ดิน

จุดเข้าที่หลอกลวง: วิศวกรรมสังคมที่เลวร้ายที่สุด

SuperCard X ใช้การโจมตีแบบหลายขั้นตอน โดยเริ่มจากกลวิธีทางวิศวกรรมสังคมแบบคลาสสิก เหยื่อจะถูกล่อลวงด้วยแคมเปญหลอกลวงหรือข้อความ WhatsApp ปลอมที่แอบอ้างว่าเป็นธนาคาร โดยแจ้งเตือนผู้ใช้เกี่ยวกับกิจกรรมที่น่าสงสัยและกระตุ้นให้โทรไปที่หมายเลขโทรศัพท์

เมื่อติดต่อไปแล้ว กลยุทธ์ดังกล่าวจะพัฒนาไปเป็นการโจมตีทางโทรศัพท์ (TOAD) ระหว่างการโทร ผู้โจมตีจะโน้มน้าวเหยื่อให้ติดตั้งซอฟต์แวร์รักษาความปลอดภัย แอปที่ใช้ในกลอุบายนี้ ได้แก่:

• ตรวจสอบแผนที่ (io.dxpay.remotenfc.supercard11)
• ซุปเปอร์การ์ด X (io.dxpay.remotenfc.supercard)
• คิงการ์ด NFC (io.dxpay.remotenfc.supercard)

เหยื่อยังถูกหลอกให้เปิดเผยรหัส PIN และยกเลิกข้อจำกัดการทำธุรกรรม ซึ่งเป็นการเปิดทางให้เกิดการโจรกรรมทางการเงินครั้งใหญ่

กลไกการถ่ายทอด: กลยุทธ์ทำงานอย่างไร

หัวใจสำคัญของ SuperCard X คือเทคนิคการถ่ายทอด NFC ที่ซับซ้อน ซึ่งวิธีการทำงานมีดังนี้

• ผู้เสียหายจะถูกขอให้ถือบัตรเครดิตหรือบัตรเดบิตไว้ใกล้กับโทรศัพท์ที่ติดไวรัส
• แอป Reader บนโทรศัพท์ของเหยื่อจะจับข้อมูลบัตรที่ส่งผ่าน NFC
• ข้อมูลนี้จะถูกส่งผ่าน HTTP ไปยังแอป Tapper บนอุปกรณ์ของผู้โจมตี
• แอป Tapper เลียนแบบข้อมูลบัตรที่ถูกขโมย ช่วยให้ผู้โจมตีสามารถทำธุรกรรม PoS หรือ ATM ที่ไม่ได้รับอนุญาตได้

ในการเชื่อมโยงอุปกรณ์ ผู้ที่ตกเป็นเหยื่อจะได้รับคำแนะนำให้ป้อนข้อมูลรับรองการเข้าสู่ระบบในระหว่างการโทร ซึ่งเป็นข้อมูลรับรองที่เชื่อมต่ออุปกรณ์ที่ติดไวรัส (เครื่องอ่าน) เข้ากับอินสแตนซ์ Tapper ของผู้โจมตี

การปรับแต่ง การสื่อสาร และการควบคุม

SuperCard X เป็นแบบโมดูลาร์และปรับแต่งได้ โดยมีรูปแบบต่างๆ ในอินเทอร์เฟซการเข้าสู่ระบบที่บ่งชี้ว่ากลุ่มอาชญากรต่างๆ ปรับแต่งให้เหมาะกับแคมเปญเฉพาะของตน นอกจากนี้ยังใช้ TLS ร่วมกัน (mTLS) สำหรับการสื่อสารแบบเข้ารหัสท่ามกลางมัลแวร์และโครงสร้างพื้นฐานการสั่งการและควบคุม (C2)

ในการใช้งาน ผู้ก่ออาชญากรรมทางไซเบอร์จะต้องลงทะเบียนบัญชีบนแพลตฟอร์ม SuperCard X ก่อน เพื่อให้พวกเขาสามารถสร้างมัลแวร์ที่กำหนดเองและจัดการรีเลย์ข้อมูล NFC ได้อย่างราบรื่น

การอยู่ให้ปลอดภัย: สิ่งที่ผู้ใช้ควรทราบ

แม้จะมีกลยุทธ์ขั้นสูง แต่ก็ยังมีวิธีที่จะได้รับการปกป้อง:

• หลีกเลี่ยงการติดตั้งแอปจากแหล่งที่ไม่รู้จักหรือลิงก์ที่ส่งผ่าน SMS/WhatsApp
• ตรวจสอบการอนุญาต บทวิจารณ์ และคำอธิบายของแอปก่อนดาวน์โหลด
• เปิดใช้งาน Google Play Protect ไว้เพื่อสแกนและบล็อกแอปที่น่าสงสัย
• ระวังข้อความเร่งด่วนที่ขอให้คุณโทรไปที่หมายเลขหรือให้ข้อมูลที่ละเอียดอ่อน

มีรายงานว่า Google กำลังพัฒนาคุณสมบัติใหม่ของ Android เพื่อบล็อกการติดตั้งแอปจากแหล่งที่ไม่ผ่านการตรวจสอบและจำกัดสิทธิ์การเข้าถึง โดยมีจุดมุ่งหมายเพื่อตัดวิธีการเผยแพร่มัลแวร์นี้ที่แหล่งที่มา

ภาพรวมที่ใหญ่กว่า

SuperCard X ไม่ใช่แค่เพียงมัลแวร์อีกชนิดหนึ่งเท่านั้น แต่ยังเป็นภัยคุกคามต่ออาชญากรรมทางการเงินทางไซเบอร์อีกด้วย การใช้เทคโนโลยีบัตรไร้สัมผัสช่วยให้ผู้โจมตีสามารถหลบเลี่ยงการรักษาความปลอดภัยด้วยบัตรจริงได้ โดยเทคโนโลยีนี้ขยายตัวมากขึ้นเรื่อยๆ จนกลายเป็นภัยคุกคามร้ายแรงไม่เพียงแต่ต่อสถาบันการเงินเท่านั้น แต่ยังรวมถึงผู้ให้บริการชำระเงินและผู้ให้บริการบัตรทั่วโลกอีกด้วย