Malware mobile SuperCard X : comment une nouvelle menace Android détourne les paiements sans contact

Une nouvelle plateforme de malware mobile, SuperCard X, redéfinit la façon dont les cybercriminels exploitent les smartphones, posant un nouveau défi aux banques, aux émetteurs de cartes et aux utilisateurs. Contrairement aux chevaux de Troie bancaires traditionnels ou aux arnaques par hameçonnage, ce malware utilise une méthode d'attaque plus avancée, subtile et coordonnée : la manipulation du relais NFC (communication en champ proche).

Développé par un groupe de cybercriminels sinophone, SuperCard X est classé comme une offre de type « malware as a service » (MaaS). En bref, il s'agit d'une boîte à outils cybercriminelle à louer. En exploitant les fonctionnalités NFC des smartphones Android , le logiciel malveillant permet aux attaquants de capturer les données de cartes et d'effectuer des transactions frauduleuses, sans accès physique à la carte de la victime.

Comment l'arnaque commence : l'ingénierie sociale à sa base

L'attaque commence par une campagne d'ingénierie sociale convaincante. Les victimes reçoivent des messages trompeurs, souvent par SMS ou WhatsApp , se faisant passer pour leur banque. Ces messages les avertissent d'une activité suspecte et les incitent à appeler un numéro spécifique. L'urgence et l'apparence de légitimité poussent de nombreuses personnes à agir sans vérifier la source du message.

Ce qui suit est une méthode connue sous le nom d'attaque par téléphone (TOAD). Lors de l'appel, les escrocs se font passer pour des représentants bancaires et demandent à la victime d'installer ce qu'ils prétendent être une application de sécurité. En réalité, il s'agit d'une des nombreuses versions déguisées du malware SuperCard X, telles que « Verifica Carta », « SuperCard X » ou « KingCard NFC ».

Une fois installée, l'application demande des autorisations sensibles et établit un lien avec le système de l'attaquant. Les victimes sont parfois persuadées de révéler leur code PIN ou de supprimer les limites quotidiennes de leur compte, ce qui facilite grandement la fraude.

NFC : la nouvelle frontière de la fraude financière

L'élément central de la fonctionnalité de SuperCard X réside dans son utilisation innovante des techniques de relais NFC . Les attaquants persuadent les victimes de placer physiquement leur carte de crédit ou de débit à proximité de leur téléphone infecté. Le logiciel malveillant lit ensuite silencieusement les données NFC transmises par la carte et les transmet à un serveur externe en temps réel.

Du côté de l'attaquant, une application compagnon, baptisée « Tapper », émule la carte grâce aux informations volées. Le criminel peut ensuite utiliser ce clone virtuel pour retirer de l'argent aux distributeurs automatiques ou payer sur des terminaux sans contact comme s'il était le véritable titulaire de la carte.

Cette méthode est particulièrement efficace pour les distributeurs automatiques de billets sans contact et les systèmes de point de vente, qui s'appuient sur les données NFC pour l'authentification mais ne peuvent pas facilement détecter que la carte a été clonée à distance.

L'infrastructure dans les coulisses

SuperCard X n'est pas une simple application : c'est tout un écosystème de fraude. Avant de diffuser le logiciel malveillant, les cybercriminels doivent créer un compte sur la plateforme. Chaque instance du logiciel malveillant est liée à ce compte, permettant la communication entre l'appareil infecté (le lecteur) et l'appareil du criminel (le tappeur).

Il est intéressant de noter que chaque application Reader semble être personnalisée pour des campagnes spécifiques, avec de légères variations dans leurs interfaces de connexion. Cela suggère que les acteurs malveillants affiliés adaptent leurs applications pour cibler différentes régions ou institutions.

Les communications entre les appareils sont chiffrées grâce au protocole TLS mutuel (mTLS) , une avancée par rapport aux normes de chiffrement habituelles utilisées dans les logiciels malveillants mobiles. Cette couche supplémentaire permet aux attaquants de rester discrets en protégeant leur trafic de commande et de contrôle (C2).

Les implications plus larges

Ce qui rend SuperCard X particulièrement inquiétant, ce n'est pas seulement son ingéniosité technique, mais aussi ses implications pour l'écosystème financier au sens large. En contournant l'authentification en ligne traditionnelle et en optant directement pour une infrastructure sans contact, elle ouvre une surface d'attaque relativement vulnérable.

Bien que cette campagne se soit jusqu'ici concentrée sur l'Italie, les techniques sous-jacentes pourraient facilement se propager à d'autres pays. Les prestataires de paiement, les institutions financières et les développeurs de systèmes d'exploitation mobiles sont autant d'acteurs potentiels dans la lutte contre cette menace.

En réponse, Google travaillerait sur de nouvelles fonctionnalités Android pour atténuer ces risques. Il s'agirait notamment de restreindre l'installation d'applications provenant de sources inconnues ou d'accorder des autorisations sensibles comme l'accès à l'accessibilité, notamment lors d'un appel, période typique des attaques TOAD.

Rester en sécurité : conseils pratiques pour les utilisateurs

À ce stade, SuperCard X n'est pas distribué sur le Google Play Store, mais cela ne signifie pas qu'il ne présente aucun risque. Les utilisateurs doivent rester prudents lorsqu'ils installent des applications tierces, surtout s'ils y sont invités lors d'un appel téléphonique. Voici quelques précautions essentielles :

  • Évitez d’installer des applications provenant de sources inconnues, sauf si cela est absolument nécessaire.
  • Soyez sceptique face aux messages urgents prétendant provenir de banques : vérifiez-les via les canaux officiels.
  • Gardez Google Play Protect activé pour détecter les applications potentiellement dangereuses.
  • Examinez attentivement les autorisations des applications et vérifiez les avis avant d’installer quoi que ce soit de nouveau.

SuperCard X représente une avancée majeure dans la fraude financière sur mobile, alliant manipulation, sophistication technique et discrétion. Bien que la portée du malware soit actuellement limitée, son impact potentiel est considérable : la vigilance et la vigilance sont donc les meilleures lignes de défense.

Par Willa
April 22, 2025
Android Malware
Français
April 22, 2025
Android Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.