Вредоносное ПО SuperCard X Mobile: как новая угроза для Android взламывает бесконтактные платежи

Недавно обнаруженная мобильная вредоносная платформа, известная как SuperCard X, меняет способ использования смартфонов киберпреступниками, создавая новую проблему для банков, эмитентов карт и пользователей. В отличие от традиционных банковских троянов или фишинговых мошенничеств, эта вредоносная программа представляет более продвинутый, тонкий и скоординированный метод атаки: манипуляция ретранслятором ближней связи (NFC).

Разработанный китайскоязычной группой по борьбе с угрозами, SuperCard X классифицируется как предложение вредоносного ПО как услуги (MaaS). Короче говоря, это набор инструментов для киберпреступности по найму. Используя возможности NFC в смартфонах Android , вредоносное ПО позволяет злоумышленникам захватывать данные карт и проводить мошеннические транзакции — без физического доступа к карте жертвы.

Как начинается мошенничество: социальная инженерия в ее основе

Атака начинается с убедительной кампании социальной инженерии. Жертвам отправляются обманные сообщения — часто через SMS или WhatsApp — якобы от имени их банка. Эти сообщения предупреждают о подозрительной активности и побуждают получателей позвонить по определенному номеру. Срочность и видимость законности подталкивают многих действовать, не проверяя источник сообщения.

Далее следует метод, известный как Telephone-Oriented Attack Delivery (TOAD). Во время звонка мошенники выдают себя за представителей банка и просят жертву установить то, что они называют приложением безопасности. На самом деле это одна из нескольких замаскированных версий вредоносного ПО SuperCard X, таких как «Verifica Carta», «SuperCard X» или «KingCard NFC».

После установки приложение запрашивает конфиденциальные разрешения и устанавливает связь с системой злоумышленника. Иногда жертв убеждают раскрыть свои PIN-коды или снять дневные лимиты счета, что значительно упрощает мошенничество.

NFC: новый рубеж финансового мошенничества

Центральным элементом возможностей SuperCard X является его новое использование методов ретрансляции NFC . Злоумышленники убеждают жертв физически поднести свои кредитные или дебетовые карты к зараженным телефонам. Затем вредоносная программа молча считывает данные NFC, передаваемые картой, и пересылает их на внешний сервер в режиме реального времени.

На стороне злоумышленника приложение-компаньон под названием «Tapper» эмулирует карту, используя украденную информацию. Затем преступник может использовать этот виртуальный клон для снятия наличных в банкоматах или оплаты на бесконтактных терминалах, как если бы он был законным держателем карты.

Этот метод особенно эффективен для бесконтактных банкоматов и PoS-систем, которые используют данные NFC для аутентификации, но не могут легко обнаружить, что карта была клонирована удаленно.

Инфраструктура за кулисами

SuperCard X — это не просто одно приложение, это целая мошенническая экосистема. Перед распространением вредоносного ПО киберпреступники должны создать учетную запись на платформе. Каждый экземпляр вредоносного ПО связан с этой учетной записью, что обеспечивает связь между зараженным устройством пользователя (Reader) и устройством преступника (Tapper).

Интересно, что каждое приложение Reader, похоже, настроено под конкретные кампании, с небольшими изменениями в интерфейсах входа. Это говорит о том, что субъекты партнерских угроз адаптируют приложения для нацеливания на разные регионы или учреждения.

Связь между устройствами шифруется с помощью взаимного TLS (mTLS) , что является шагом вперед по сравнению с обычными стандартами шифрования, которые используются в мобильных вредоносных программах. Этот дополнительный уровень помогает злоумышленникам оставаться незамеченными, защищая свой трафик управления и контроля (C2).

Более широкие последствия

Что делает SuperCard X особенно тревожным, так это не только его техническая изобретательность, но и его влияние на более широкую финансовую экосистему. Обходя традиционную онлайн-аутентификацию и переходя напрямую к бесконтактной инфраструктуре, он открывает относительно незащищенную поверхность атаки.

Хотя эта кампания до сих пор была сосредоточена на Италии, базовые методы могут легко распространиться на другие страны. Платежные провайдеры, финансовые учреждения и разработчики мобильных ОС являются потенциальными заинтересованными сторонами в борьбе за сдерживание этой угрозы.

В ответ Google, как сообщается, работает над новыми функциями Android, чтобы снизить такие риски. К ним относятся ограничения на установку приложений из неизвестных источников или предоставление конфиденциальных разрешений, таких как доступ к специальным возможностям, особенно во время звонка, когда обычно происходят атаки TOAD.

Соблюдение безопасности: практические советы для пользователей

На данный момент SuperCard X не распространяется через Google Play Store, но это не значит, что это не риск. Пользователи должны быть осторожны, устанавливая приложения из сторонних источников, особенно если им предложат сделать это во время телефонного звонка. Вот несколько основных мер предосторожности:

• Избегайте установки приложений из неизвестных источников без крайней необходимости.
• Относитесь скептически к срочным сообщениям, якобы отправленным банками, — проверяйте их по официальным каналам.
• Не выключайте Google Play Protect, чтобы обнаруживать потенциально опасные приложения.
• Прежде чем устанавливать что-либо новое, внимательно проверяйте разрешения приложений и читайте отзывы.

SuperCard X представляет собой скачок вперед в финансовом мошенничестве с использованием мобильных устройств, сочетая манипуляции, техническую сложность и скрытность. Хотя вредоносное ПО в настоящее время имеет ограниченные возможности, его потенциальное воздействие огромно, что делает осведомленность и бдительность лучшими первыми линиями обороны.