В Италии активна новая опасная кампания по краже банковских данных с помощью вредоносного Android-малвари под названием SuperCard X. Эта платформа, распространяемая по схеме Malware-as-a-Service (MaaS), позволяет злоумышленникам проводить бесконтактные мошеннические операции на банкоматах и терминалах оплаты с помощью уникальной технологии NFC реле-атак. Анализом угрозы занялась компания Cleafy.
Метод атаки состоит из нескольких этапов. Сначала жертве приходят поддельные SMS или сообщения WhatsApp, замаскированные под уведомления банка о подозрительных операциях. В сообщениях предлагается позвонить по указанному номеру, чтобы якобы оспорить списания. Во время звонка злоумышленники используют социальную инженерию — пытаются убедить пользователя установить на телефон вредоносное приложение, выманить PIN-коды и отключить лимиты на операции по карте.
Поставляется троян через три поддельных приложения для Android: Verifica Carta (io.dxpay.remotenfc.supercard11), SuperCard X (io.dxpay.remotenfc.supercard) и KingCard NFC (io.dxpay.remotenfc.supercard). Их разработчик — китайскоязычный хакер. Приложения маскируются под легитимный софт и требуют логин и пароль, которые жертва получает во время телефонного звонка, что связывает устройство и злоумышленника.
Главная инновация — NFC реле-атака. Когда жертва подносит свою банковскую карту к заражённому смартфону с приложением Reader, троян перехватывает данные бесконтактной карты и пересылает их серверу злоумышленников. На стороне киберпреступников запущено приложение Tapper, которое имитирует карту жертвы и производит с неё транзакции на PoS-терминалах или в банкоматах. Для защиты передачи данных между Reader и Tapper используется протокол mutual TLS (mTLS).
Исследователи Federico Valentini, Alessandro Strino и Michele Roviello отметили, что похожие версии Reader имеют небольшие различия в интерфейсе, что говорит о кастомизации модулей для различных партнёрских групп мошенников. Коммуникация между приложениями осуществляется через HTTP с защитой TLS. SuperCard X успешно обходит традиционные банковские меры безопасности благодаря сочетанию социальной инженерии и технической инновации.
Google уже работает над улучшениями в Android, которые должны блокировать установку приложений из непроверенных источников и ограничивать предоставление расширенных разрешений во время телефонных звонков — меры, направленные на снижение риска подобных атак. На данный момент SuperCard X не замечен в Google Play. Эксперты советуют пользователям внимательно изучать описания программ, проверять права доступа и держать активированным Google Play Protect.
Данная кампания представляет серьёзную угрозу не только клиентам банков, но и поставщикам платёжных услуг и эмитентам карт. Использование бесконтактной технологии NFC для удалённого кражи средств демонстрирует рост эволюции в сфере мобильного мошенничества и требует повышения осведомлённости и цифровой гигиены пользователей.
Изображение носит иллюстративный характер
Метод атаки состоит из нескольких этапов. Сначала жертве приходят поддельные SMS или сообщения WhatsApp, замаскированные под уведомления банка о подозрительных операциях. В сообщениях предлагается позвонить по указанному номеру, чтобы якобы оспорить списания. Во время звонка злоумышленники используют социальную инженерию — пытаются убедить пользователя установить на телефон вредоносное приложение, выманить PIN-коды и отключить лимиты на операции по карте.
Поставляется троян через три поддельных приложения для Android: Verifica Carta (io.dxpay.remotenfc.supercard11), SuperCard X (io.dxpay.remotenfc.supercard) и KingCard NFC (io.dxpay.remotenfc.supercard). Их разработчик — китайскоязычный хакер. Приложения маскируются под легитимный софт и требуют логин и пароль, которые жертва получает во время телефонного звонка, что связывает устройство и злоумышленника.
Главная инновация — NFC реле-атака. Когда жертва подносит свою банковскую карту к заражённому смартфону с приложением Reader, троян перехватывает данные бесконтактной карты и пересылает их серверу злоумышленников. На стороне киберпреступников запущено приложение Tapper, которое имитирует карту жертвы и производит с неё транзакции на PoS-терминалах или в банкоматах. Для защиты передачи данных между Reader и Tapper используется протокол mutual TLS (mTLS).
Исследователи Federico Valentini, Alessandro Strino и Michele Roviello отметили, что похожие версии Reader имеют небольшие различия в интерфейсе, что говорит о кастомизации модулей для различных партнёрских групп мошенников. Коммуникация между приложениями осуществляется через HTTP с защитой TLS. SuperCard X успешно обходит традиционные банковские меры безопасности благодаря сочетанию социальной инженерии и технической инновации.
Google уже работает над улучшениями в Android, которые должны блокировать установку приложений из непроверенных источников и ограничивать предоставление расширенных разрешений во время телефонных звонков — меры, направленные на снижение риска подобных атак. На данный момент SuperCard X не замечен в Google Play. Эксперты советуют пользователям внимательно изучать описания программ, проверять права доступа и держать активированным Google Play Protect.
Данная кампания представляет серьёзную угрозу не только клиентам банков, но и поставщикам платёжных услуг и эмитентам карт. Использование бесконтактной технологии NFC для удалённого кражи средств демонстрирует рост эволюции в сфере мобильного мошенничества и требует повышения осведомлённости и цифровой гигиены пользователей.