SuperCard X Mobil Kötü Amaçlı Yazılım
SuperCard X adlı daha önce bilinmeyen bir Android Malware-as-a-Service (MaaS) platformu siber suç dünyasında dalga yaratıyor. Saldırganlara yakın alan iletişimi (NFC) röle saldırıları gerçekleştirme, dolandırıcılık işlemleri ve ATM çekimlerini mümkün kılma yetkisi veriyor. İtalya'daki banka müşterilerini hedef alan bu kötü amaçlı yazılımın Telegram kanalları aracılığıyla tanıtıldığı ve yeraltı siber suçlu ağları aracılığıyla etki alanını genişlettiği düşünülüyor.
İçindekiler
Aldatıcı Giriş Noktası: Sosyal Mühendislik En Kötü Haliyle
SuperCard X, klasik sosyal mühendislik taktikleriyle başlayan çok aşamalı bir saldırı zinciri kullanır. Kurbanlar, kullanıcıları şüpheli faaliyetler konusunda uyaran ve bir telefon numarasını aramalarını isteyen bankaları taklit eden smishing kampanyaları veya sahte WhatsApp mesajları yoluyla kandırılır.
Bir kez temas kurulduğunda, taktik Telefon Odaklı Saldırı Teslimatı'na (TOAD) dönüşür. Bu görüşmeler sırasında saldırganlar, kurbanları güvenlik yazılımı gibi görünen bir şeyi yüklemeye ikna eder. Bu taktikte kullanılan uygulamalar şunlardır:
- Doğrulama Kartı (io.dxpay.remotenfc.supercard11)
- SüperKart X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
Mağdurlar ayrıca PIN kodlarını ifşa etmeleri ve işlem limitlerini kaldırmaları yönünde yönlendiriliyor ve bu da büyük ölçekli finansal hırsızlığın ortamını hazırlıyor.
Bayrak Yarışı Mekanizması: Taktik Nasıl Çalışır?
SuperCard X'in özünde gelişmiş bir NFC röle tekniği yer alır. İşte nasıl çalıştığı:
- Mağdurlardan kredi veya banka kartlarını virüslü telefonlarına yakın tutmaları isteniyor.
- Mağdurun telefonundaki Reader uygulaması NFC ile iletilen kart verilerini yakalıyor.
- Bu bilgi saldırganın cihazındaki bir Tapper uygulamasına HTTP aracılığıyla gönderilir.
- Tapper uygulaması çalınan kart verilerini taklit ederek saldırganların yetkisiz PoS veya ATM işlemleri yapmasına olanak sağlıyor.
Cihazları birbirine bağlamak için, kurbanlara arama sırasında oturum açma kimlik bilgilerini girmeleri talimatı verilir; bu kimlik bilgileri, enfekte cihazı (Reader) saldırganın Tapper örneğiyle bağlar.
Özelleştirme, İletişim ve Kontrol
SuperCard X modüler ve özelleştirilebilirdir, oturum açma arayüzündeki değişiklikler farklı suç ortaklarının onu kendi özel kampanyalarına göre uyarladığını düşündürmektedir. Ayrıca kötü amaçlı yazılım ve Komuta ve Kontrol (C2) altyapısı arasında şifreli iletişim için karşılıklı TLS (mTLS) kullanır.
Siber suçluların faaliyet gösterebilmeleri için öncelikle SuperCard X platformunda bir hesap oluşturmaları gerekiyor. Bu sayede özel kötü amaçlı yazılım yapıları oluşturabilir ve NFC veri aktarımlarını sorunsuz bir şekilde yönetebilirler.
Güvende Kalmak: Kullanıcıların Bilmesi Gerekenler
Gelişmiş taktiklere rağmen korunmanın yolları da var:
- Bilinmeyen kaynaklardan gelen uygulamaları veya SMS/WhatsApp yoluyla gönderilen bağlantıları yüklemekten kaçının.
- İndirmeden önce uygulama izinlerini, yorumlarını ve açıklamalarını dikkatlice inceleyin.
- Şüpheli uygulamaları taramak ve engellemek için Google Play Protect'i etkin tutun.
- Acil bir numarayı aramanızı veya hassas verilerinizi vermenizi isteyen mesajlara karşı dikkatli olun.
Google'ın, bu kötü amaçlı yazılımın dağıtım yöntemini kaynağında kesmek amacıyla, doğrulanmamış kaynaklardan uygulama yüklemelerini engellemek ve erişilebilirlik izinlerini kısıtlamak için yeni Android özellikleri geliştirdiği bildiriliyor.
Daha Büyük Resim
SuperCard X sadece başka bir kötü amaçlı yazılım değil; finansal siber suçlarda tehdit edici bir evrimi temsil ediyor. Temassız kart teknolojisinden yararlanmak, saldırganların fiziksel kart güvenliğini aşmaları için ölçeklenebilir bir yöntem sunuyor. Genişledikçe, yalnızca bankacılık kurumları için değil, aynı zamanda dünya çapındaki ödeme sağlayıcıları ve kart ihraççıları için de ciddi bir tehdit oluşturuyor.
