Malware SuperCard X Mobile: Jak nowe zagrożenie dla Androida przejmuje płatności zbliżeniowe

Nowo odkryta platforma mobilnego złośliwego oprogramowania znana jako SuperCard X na nowo definiuje sposób, w jaki cyberprzestępcy wykorzystują smartfony, stawiając nowe wyzwanie bankom, wystawcom kart i użytkownikom. W przeciwieństwie do tradycyjnych trojanów bankowych lub oszustw phishingowych, to złośliwe oprogramowanie wprowadza bardziej zaawansowaną, subtelną i skoordynowaną metodę ataku: manipulację przekaźnikiem komunikacji bliskiego zasięgu (NFC).

Opracowany przez chińskojęzyczną grupę zagrożeń, SuperCard X jest klasyfikowany jako oferta malware-as-a-service (MaaS). Krótko mówiąc, jest to wynajęty zestaw narzędzi do cyberprzestępczości. Wykorzystując możliwości NFC w smartfonach z systemem Android , malware umożliwia atakującym przechwytywanie danych kart i przeprowadzanie oszukańczych transakcji — bez fizycznego dostępu do karty ofiary.

Jak zaczyna się oszustwo: inżynieria społeczna w jego centrum

Atak zaczyna się od przekonującej kampanii socjotechnicznej. Ofiary otrzymują oszukańcze wiadomości — często za pośrednictwem SMS-ów lub WhatsApp — podające się za pochodzące z ich banku. Wiadomości te ostrzegają przed podejrzaną aktywnością i nakłaniają odbiorców do zadzwonienia pod konkretny numer. Pilność i pozory legalności skłaniają wielu do działania bez weryfikacji źródła wiadomości.

Poniżej przedstawiono metodę znaną jako Telephone-Oriented Attack Delivery (TOAD). Podczas rozmowy oszuści podszywają się pod przedstawicieli banku i instruują ofiarę, aby zainstalowała to, co twierdzą, że jest aplikacją zabezpieczającą. W rzeczywistości jest to jedna z kilku zamaskowanych wersji złośliwego oprogramowania SuperCard X, takich jak „Verifica Carta”, „SuperCard X” lub „KingCard NFC”.

Po zainstalowaniu aplikacja żąda poufnych uprawnień i nawiązuje połączenie z systemem atakującego. Ofiary są czasami namawiane do ujawnienia swoich kodów PIN lub usunięcia dziennych limitów konta, co znacznie ułatwia oszustwo.

NFC: Nowa granica oszustw finansowych

Centralnym punktem możliwości SuperCard X jest nowatorskie wykorzystanie technik przekazywania NFC . Atakujący przekonują ofiary do fizycznego umieszczenia swoich kart kredytowych lub debetowych w pobliżu zainfekowanych telefonów. Następnie złośliwe oprogramowanie po cichu odczytuje dane NFC przesyłane przez kartę i przesyła je do zewnętrznego serwera w czasie rzeczywistym.

Po stronie atakującego aplikacja towarzysząca — o pseudonimie „Tapper” — emuluje kartę, wykorzystując skradzione informacje. Przestępca może następnie użyć tego wirtualnego klonu do wypłacania gotówki z bankomatów lub płacenia w terminalach zbliżeniowych, tak jakby był prawowitym posiadaczem karty.

Metoda ta jest szczególnie skuteczna w przypadku bankomatów bezstykowych i systemów PoS, które do uwierzytelniania wykorzystują dane NFC, ale nie mogą łatwo wykryć, że karta została sklonowana zdalnie.

Infrastruktura za kulisami

SuperCard X to nie tylko jedna aplikacja — to cały ekosystem oszustw. Przed dystrybucją złośliwego oprogramowania cyberprzestępcy muszą utworzyć konto na platformie. Każde wystąpienie złośliwego oprogramowania jest powiązane z tym kontem, umożliwiając komunikację między zainfekowanym urządzeniem użytkownika (Reader) a urządzeniem przestępcy (Tapper).

Co ciekawe, każda aplikacja Reader wydaje się być dostosowana do konkretnych kampanii, z niewielkimi różnicami w interfejsach logowania. Sugeruje to, że podmioty zajmujące się zagrożeniami afiliacyjnymi dostosowują aplikacje do różnych regionów lub instytucji.

Komunikacja między urządzeniami jest szyfrowana przy użyciu wzajemnego protokołu TLS (mTLS) , co stanowi krok naprzód w stosunku do zwykłych standardów szyfrowania stosowanych w złośliwym oprogramowaniu mobilnym. Ta dodatkowa warstwa pomaga atakującym pozostać niezauważonym, chroniąc ich ruch poleceń i kontroli (C2).

Szersze implikacje

To, co sprawia, że SuperCard X jest szczególnie niepokojąca, to nie tylko jej techniczna pomysłowość, ale także jej implikacje dla szerszego ekosystemu finansowego. Omijając tradycyjne uwierzytelnianie online i przechodząc bezpośrednio do infrastruktury bezstykowej, otwiera stosunkowo niezabezpieczoną powierzchnię ataku.

Chociaż ta kampania do tej pory koncentrowała się na Włoszech, techniki leżące u jej podstaw mogłyby łatwo rozprzestrzenić się na inne kraje. Dostawcy usług płatniczych, instytucje finansowe i twórcy mobilnych systemów operacyjnych to potencjalni interesariusze w walce o powstrzymanie tego zagrożenia.

W odpowiedzi Google podobno pracuje nad nowymi funkcjami Androida, aby złagodzić takie ryzyko. Obejmują one ograniczenia dotyczące instalowania aplikacji z nieznanych źródeł lub udzielania poufnych uprawnień, takich jak dostęp do ułatwień dostępu — zwłaszcza podczas rozmowy, gdy zwykle występują ataki TOAD.

Zachowanie bezpieczeństwa: praktyczne wskazówki dla użytkowników

W tym momencie SuperCard X nie jest dystrybuowany za pośrednictwem Google Play Store, ale to nie znaczy, że nie jest to ryzykowne. Użytkownicy powinni zachować ostrożność przy instalowaniu aplikacji ze źródeł zewnętrznych, zwłaszcza jeśli zostaną o to poproszeni podczas rozmowy telefonicznej. Oto kilka kluczowych środków ostrożności:

• Unikaj instalowania aplikacji z nieznanych źródeł, chyba że jest to absolutnie konieczne.
• Podchodź sceptycznie do pilnych wiadomości, które rzekomo pochodzą od banków – weryfikuj je za pośrednictwem oficjalnych kanałów.
• Włącz funkcję Google Play Protect , aby wykrywać potencjalnie szkodliwe aplikacje.
• Przed zainstalowaniem czegokolwiek nowego sprawdź uprawnienia aplikacji i przeczytaj recenzje.

SuperCard X to skok naprzód w oszustwach finansowych obsługiwanych przez urządzenia mobilne, łączący manipulację, wyrafinowanie techniczne i ukrycie. Chociaż zakres złośliwego oprogramowania jest obecnie ograniczony, jego potencjalny wpływ jest ogromny — co sprawia, że świadomość i czujność są najlepszymi pierwszymi liniami obrony.