Malware SuperCard X Mobile: come una nuova minaccia per Android sta dirottando i pagamenti contactless
Una piattaforma malware mobile di recente scoperta, nota come SuperCard X, sta ridefinendo il modo in cui i criminali informatici sfruttano gli smartphone, ponendo una nuova sfida per banche, emittenti di carte e utenti. A differenza dei tradizionali trojan bancari o delle truffe di phishing, questo malware introduce un metodo di attacco più avanzato, subdolo e coordinato: la manipolazione dei relay NFC (near-field communication).
Sviluppato da un gruppo di cybercriminali di lingua cinese, SuperCard X è classificato come un'offerta malware-as-a-service (MaaS). In breve, è un kit di strumenti per la criminalità informatica a pagamento. Sfruttando le funzionalità NFC degli smartphone Android , il malware consente agli aggressori di acquisire i dati delle carte di credito ed effettuare transazioni fraudolente, senza accesso fisico alla carta della vittima.
Table of Contents
Come inizia la truffa: l'ingegneria sociale al suo centro
L'attacco inizia con una convincente campagna di ingegneria sociale. Alle vittime vengono inviati messaggi ingannevoli, spesso tramite SMS o WhatsApp , che pretendono di provenire dalla loro banca. Questi messaggi avvertono di attività sospette e invitano i destinatari a chiamare un numero specifico. L'urgenza e l'apparenza di legittimità spingono molti ad agire senza verificare la fonte del messaggio.
Quello che segue è un metodo noto come TOAD ( Telephone-Oriented Attack Delivery ). Durante la chiamata, i truffatori si spacciano per rappresentanti bancari e chiedono alla vittima di installare quella che sostengono essere un'app di sicurezza. In realtà, si tratta di una delle diverse versioni camuffate del malware SuperCard X, come "Verifica Carta", "SuperCard X" o "KingCard NFC".
Una volta installata, l'app richiede autorizzazioni sensibili e stabilisce una connessione con il sistema dell'aggressore. A volte le vittime vengono convinte a rivelare i propri PIN o a rimuovere i limiti giornalieri del conto, il che rende le frodi molto più facili.
NFC: la nuova frontiera delle frodi finanziarie
Il fulcro della capacità di SuperCard X è il suo innovativo utilizzo delle tecniche di relay NFC . Gli aggressori convincono le vittime a posizionare fisicamente le proprie carte di credito o di debito vicino ai telefoni infetti. Il malware legge quindi silenziosamente i dati NFC trasmessi dalla carta e li inoltra a un server esterno in tempo reale.
Dal lato dell'aggressore, un'app complementare, soprannominata "Tapper", emula la carta utilizzando le informazioni rubate. Il criminale può quindi utilizzare questo clone virtuale per prelevare contanti agli sportelli bancomat o pagare tramite terminali contactless come se fosse il legittimo titolare della carta.
Questo metodo è particolarmente efficace per gli sportelli bancomat contactless e i sistemi PoS, che si basano sui dati NFC per l'autenticazione, ma non riescono a rilevare facilmente che la carta è stata clonata da remoto.
L'infrastruttura dietro le quinte
SuperCard X non è una sola app, ma un intero ecosistema di frodi. Prima di distribuire il malware, i criminali informatici devono creare un account sulla piattaforma. Ogni istanza del malware è collegata a questo account, consentendo la comunicazione tra il dispositivo dell'utente infetto (Reader) e il dispositivo del criminale (Tapper).
È interessante notare che ogni app Reader sembra essere personalizzata per campagne specifiche, con leggere variazioni nelle interfacce di accesso. Ciò suggerisce che gli autori di minacce affiliate stanno adattando le app per colpire regioni o istituzioni diverse.
Le comunicazioni tra i dispositivi sono crittografate tramite mutuo TLS (mTLS) , un passo avanti rispetto ai consueti standard di crittografia utilizzati nei malware per dispositivi mobili. Questo livello aggiuntivo aiuta gli aggressori a rimanere inosservati proteggendo il loro traffico di comando e controllo (C2).
Le implicazioni più ampie
Ciò che rende SuperCard X particolarmente preoccupante non è solo la sua ingegnosità tecnica, ma anche le sue implicazioni per l'ecosistema finanziario più ampio. Bypassando l'autenticazione online tradizionale e puntando direttamente sull'infrastruttura contactless, apre una superficie di attacco relativamente poco protetta.
Sebbene questa campagna si sia finora concentrata sull'Italia, le tecniche sottostanti potrebbero facilmente diffondersi ad altri Paesi. Fornitori di servizi di pagamento, istituti finanziari e sviluppatori di sistemi operativi mobili sono tutti potenziali attori nella lotta per contenere questa minaccia.
In risposta a ciò, Google starebbe lavorando a nuove funzionalità Android per mitigare tali rischi. Tra queste, restrizioni sull'installazione di app da fonti sconosciute o la concessione di autorizzazioni sensibili come l'accesso all'accessibilità, soprattutto durante una chiamata, quando in genere si verificano gli attacchi TOAD.
Rimanere al sicuro: consigli pratici per gli utenti
Al momento, SuperCard X non è distribuita tramite il Google Play Store, ma ciò non significa che non rappresenti un rischio. Gli utenti dovrebbero essere cauti nell'installare app da fonti di terze parti, soprattutto se richiesto durante una telefonata. Ecco alcune precauzioni chiave:
- Evita di installare app da fonti sconosciute, a meno che non sia assolutamente necessario.
- Siate scettici di fronte a messaggi urgenti che pretendono di provenire da banche: verificateli tramite canali ufficiali.
- Mantieni attivo Google Play Protect per rilevare le app potenzialmente dannose.
- Prima di installare qualcosa di nuovo, controlla attentamente le autorizzazioni delle app e leggi le recensioni.
SuperCard X rappresenta un passo avanti nelle frodi finanziarie tramite dispositivi mobili, combinando manipolazione, sofisticatezza tecnica e furtività. Sebbene il malware abbia attualmente una portata limitata, il suo potenziale impatto è enorme, rendendo consapevolezza e vigilanza le migliori prime linee di difesa.
