Phần mềm độc hại SuperCard X Mobile
Một nền tảng Android Malware-as-a-Service (MaaS) chưa từng được biết đến trước đây có tên là SuperCard X đang tạo nên làn sóng trong thế giới tội phạm mạng. Nó trao quyền cho kẻ tấn công thực hiện các cuộc tấn công chuyển tiếp giao tiếp trường gần (NFC), cho phép thực hiện các giao dịch gian lận và rút tiền ATM. Nhắm mục tiêu vào khách hàng ngân hàng ở Ý, phần mềm độc hại này được cho là được quảng bá thông qua các kênh Telegram, mở rộng phạm vi tiếp cận của nó thông qua các mạng lưới tội phạm mạng ngầm.
Mục lục
Điểm vào lừa đảo: Kỹ thuật xã hội ở mức tồi tệ nhất
SuperCard X sử dụng chuỗi tấn công nhiều giai đoạn, bắt đầu bằng các chiến thuật kỹ thuật xã hội cổ điển. Nạn nhân bị dụ dỗ thông qua các chiến dịch smishing hoặc tin nhắn WhatsApp giả mạo ngân hàng, cảnh báo người dùng về hoạt động đáng ngờ và nhắc họ gọi đến số điện thoại.
Một khi đã tiếp xúc, chiến thuật này sẽ leo thang thành một cuộc tấn công hướng đến điện thoại (TOAD). Trong các cuộc gọi này, kẻ tấn công thuyết phục nạn nhân cài đặt những gì có vẻ là phần mềm bảo mật. Các ứng dụng được sử dụng trong thủ đoạn này bao gồm:
- Xác minh Carta (io.dxpay.remotenfc.supercard11)
- Thẻ SuperCard X (io.dxpay.remotenfc.supercard)
- Thẻ KingCard NFC (io.dxpay.remotenfc.supercard)
Nạn nhân cũng bị lừa tiết lộ mã PIN và xóa giới hạn giao dịch, tạo tiền đề cho hành vi trộm cắp tài chính trên quy mô lớn.
Cơ chế chuyển tiếp: Chiến thuật hoạt động như thế nào
Cốt lõi của SuperCard X là kỹ thuật chuyển tiếp NFC tinh vi. Sau đây là cách thức hoạt động của nó:
- Nạn nhân được yêu cầu giữ thẻ tín dụng hoặc thẻ ghi nợ gần điện thoại bị nhiễm.
- Ứng dụng Reader trên điện thoại của nạn nhân sẽ ghi lại dữ liệu thẻ được truyền qua NFC.
- Thông tin này được gửi qua HTTP đến ứng dụng Tapper trên thiết bị của kẻ tấn công.
- Ứng dụng Tapper mô phỏng dữ liệu thẻ bị đánh cắp, cho phép kẻ tấn công thực hiện các giao dịch PoS hoặc ATM trái phép.
Để liên kết các thiết bị, nạn nhân được hướng dẫn nhập thông tin đăng nhập trong cuộc gọi—thông tin đăng nhập kết nối thiết bị bị nhiễm (Reader) với phiên bản Tapper của kẻ tấn công.
Tùy chỉnh, Giao tiếp và Kiểm soát
SuperCard X có tính mô-đun và có thể tùy chỉnh, với các biến thể trong giao diện đăng nhập cho thấy các chi nhánh tội phạm khác nhau tùy chỉnh nó theo các chiến dịch cụ thể của họ. Nó cũng sử dụng TLS chung (mTLS) để liên lạc được mã hóa giữa phần mềm độc hại và cơ sở hạ tầng Chỉ huy và Kiểm soát (C2) của nó.
Để hoạt động, tội phạm mạng trước tiên phải đăng ký tài khoản trên nền tảng SuperCard X, cho phép chúng tạo ra phần mềm độc hại tùy chỉnh và quản lý dữ liệu NFC một cách liền mạch.
Giữ an toàn: Những điều người dùng cần biết
Bất chấp các chiến thuật tiên tiến, vẫn có những cách để được bảo vệ:
- Tránh cài đặt ứng dụng từ nguồn không xác định hoặc liên kết được gửi qua tin nhắn SMS/WhatsApp.
- Kiểm tra kỹ các quyền, đánh giá và mô tả của ứng dụng trước khi tải xuống.
- Bật Google Play Protect để quét và chặn các ứng dụng đáng ngờ.
- Hãy cẩn thận với những tin nhắn khẩn cấp yêu cầu bạn gọi đến một số điện thoại nào đó hoặc cung cấp dữ liệu nhạy cảm.
Google được cho là đang phát triển các tính năng Android mới để chặn cài đặt ứng dụng từ các nguồn chưa được xác minh và hạn chế quyền truy cập, nhằm mục đích ngăn chặn phương thức phân phối phần mềm độc hại này ngay từ nguồn.
Bức tranh lớn hơn
SuperCard X không chỉ là một phần mềm độc hại khác—nó đại diện cho một sự tiến hóa đe dọa trong tội phạm mạng tài chính. Tận dụng công nghệ thẻ không tiếp xúc giới thiệu một phương pháp có thể mở rộng cho những kẻ tấn công để vượt qua bảo mật thẻ vật lý. Khi nó mở rộng, nó gây ra mối đe dọa nghiêm trọng không chỉ đối với các tổ chức ngân hàng mà còn đối với các nhà cung cấp dịch vụ thanh toán và các đơn vị phát hành thẻ trên toàn thế giới.
