Зловмисне програмне забезпечення для мобільних пристроїв SuperCard X
Раніше невідома платформа Android Malware-as-a-Service (MaaS) під назвою SuperCard X викликає хвилю у світі кіберзлочинності. Він дає змогу зловмисникам здійснювати атаки на ретрансляцію зв’язку ближнього поля (NFC), уможливлюючи шахрайські транзакції та зняття коштів із банкоматів. Це зловмисне програмне забезпечення, націлене на банківських клієнтів в Італії, імовірно просувається через канали Telegram, розширюючи своє охоплення через підпільні мережі кіберзлочинців.
Зміст
Оманлива точка входу: соціальна інженерія в її найгіршому прояві
SuperCard X використовує багатоетапну ланцюжок атак, починаючи з класичної тактики соціальної інженерії. Жертв заманюють за допомогою рекламних кампаній або фальшивих повідомлень WhatsApp, які видають себе за банки, попереджаючи користувачів про підозрілу активність і спонукаючи їх зателефонувати за номером телефону.
Після встановлення контакту тактика переростає в телефонно-орієнтовану атаку (TOAD). Під час цих дзвінків зловмисники переконують жертву встановити те, що здається захисним програмним забезпеченням. Додатки, які використовуються в цьому трюку, включають:
- Verifica Carta (io.dxpay.remotenfc.supercard11)
- SuperCard X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
Жертв також маніпулюють, змушуючи їх розкривати PIN-коди та скасовувати ліміти транзакцій, створюючи передумови для масштабних фінансових крадіжок.
Механізм реле: як працює тактика
В основі SuperCard X лежить складна техніка реле NFC. Ось як це працює:
- Жертв просять тримати свою кредитну або дебетову картку близько до зараженого телефону.
- Додаток Reader на телефоні жертви фіксує дані картки, передані за допомогою NFC.
- Ця інформація надсилається через HTTP до програми Tapper на пристрої зловмисника.
- Додаток Tapper емулює дані викраденої картки, дозволяючи зловмисникам здійснювати неавторизовані транзакції через PoS або банкомат.
Щоб зв’язати пристрої, жертвам наказують ввести облікові дані під час дзвінка — облікові дані, які з’єднують заражений пристрій (Reader) із примірником Tapper зловмисника.
Налаштування, зв'язок і контроль
SuperCard X є модульною та налаштовуваною, з варіаціями в інтерфейсі входу в систему, що свідчить про те, що різні злочинні філії адаптують її до своїх конкретних кампаній. Він також використовує взаємний TLS (mTLS) для зашифрованого зв’язку серед зловмисного програмного забезпечення та його інфраструктури командування та керування (C2).
Щоб діяти, кіберзлочинці повинні спочатку зареєструвати обліковий запис на платформі SuperCard X, що дозволить їм створювати власні збірки шкідливих програм і безперешкодно керувати реле даних NFC.
Залишайтеся в безпеці: що користувачі повинні знати
Незважаючи на передову тактику, є способи залишатися захищеними:
- Уникайте встановлення програм із невідомих джерел або посилань, надісланих через SMS/WhatsApp.
- Перед завантаженням уважно перевірте дозволи програми, відгуки та описи.
- Увімкніть Google Play Protect, щоб сканувати та блокувати підозрілі програми.
- Остерігайтеся термінових повідомлень, які пропонують зателефонувати за номером або надати конфіденційні дані.
Повідомляється, що Google розробляє нові функції Android, щоб блокувати встановлення додатків із неперевірених джерел і обмежувати дозволи на доступ, щоб припинити розповсюдження цього шкідливого ПЗ у джерелі.
Більше зображення
SuperCard X — це не просто ще одне зловмисне програмне забезпечення — це загрозлива еволюція фінансової кіберзлочинності. Використання технології безконтактних карток дає зловмисникам масштабований метод обходу безпеки фізичної картки. Розширюючись, він становить серйозну загрозу не лише для банківських установ, але й для постачальників платіжних послуг та емітентів карток у всьому світі.
