Uma nova plataforma de malware como serviço (MaaS) para Android chamada SuperCard X pode facilitar ataques de relay por comunicação em campo próximo (NFC), permitindo que cibercriminosos realizem saques fraudulentos.
A campanha ativa está visando clientes de instituições bancárias e emissores de cartões na Itália com o objetivo de comprometer dados de cartões de pagamento, afirmou a empresa de prevenção a fraudes Cleafy em uma análise.
Há evidências que sugerem que o serviço é promovido em canais do Telegram.
SuperCard X "emprega uma abordagem multi-estágios combinando engenharia social (via smishing e chamadas telefônicas), instalação de aplicativos maliciosos e interceptação de dados NFC para uma fraude altamente eficaz," disseram os pesquisadores de segurança Federico Valentini, Alessandro Strino e Michele Roviello.
O novo malware para Android, trabalho de um ator de ameaças que fala chinês, foi observado sendo propagado por meio de três aplicativos falsos diferentes, enganando vítimas a instalá-los através de técnicas de engenharia social, como mensagens SMS ou WhatsApp enganosas:
- Verifica Carta (io.dxpay.remotenfc.supercard11)
- SuperCard X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
As mensagens se passam por alertas de segurança bancária para induzir um falso senso de urgência, instando os destinatários a ligarem para um número específico para contestar uma transação relacionada a um pagamento suspeito de saída.
A cadeia de infecção então avança para o que é chamado de Entrega de Ataque Orientado por Telefone (TOAD), onde os atores da ameaça manipulam vítimas a instalar o aplicativo sob o pretexto de ser um software de segurança por meio de conversas telefônicas diretas.
Os atores da ameaça também foram encontrados usando táticas persuasivas para obter os PINs das vítimas e instruí-los a remover quaisquer limites de cartão existentes, permitindo assim drenar os fundos facilmente.
No cerne da operação está uma técnica de relay NFC anteriormente não documentada que permite aos atores da ameaça autorizar fraudulentamente pagamentos em pontos de venda (PoS) e saques em caixas eletrônicos automáticos (ATMs) interceptando e realizando relay das comunicações NFC de dispositivos infectados.
Para fazer isso, os atacantes instigam as vítimas a trazerem seu cartão de débito ou crédito para perto fisicamente do dispositivo móvel, o que então permite que o malware SuperCard X capture secretamente os detalhes do cartão transmitidos e os relay para um servidor externo.
As informações do cartão colhidas são então utilizadas em um dispositivo controlado pelo ator da ameaça para conduzir transações não autorizadas.
O aplicativo distribuído às vítimas para capturar dados de cartões NFC é chamado de Reader.
Um aplicativo similar conhecido como Tapper é instalado no dispositivo do ator da ameaça para receber as informações do cartão.
A comunicação entre o Reader e o Tapper é realizada usando HTTP para comando e controle (C2) e requer que os cibercriminosos estejam logados.
Como resultado, espera-se que os atores da ameaça criem uma conta dentro da plataforma SuperCard X antes de distribuir os aplicativos maliciosos, após o que as vítimas são instruídas a entrar com as credenciais de login fornecidas a elas durante a ligação telefônica.
Este passo serve como um componente chave no ataque geral, pois estabelece a conexão entre o dispositivo infectado da vítima e a instância Tapper do ator da ameaça, o que então possibilita que os dados do cartão sejam relayed para saques subsequentes.
O aplicativo Tapper também é projetado para emular o cartão da vítima usando os dados roubados, assim enganando terminais PoS e ATMs a reconhecê-lo como um cartão legítimo.
Os artefatos de malware "Reader" identificados pela Cleafy carregam sutis diferenças na tela de login, indicando que são construções personalizadas geradas por atores afiliados para adequar as campanhas de acordo com suas necessidades.
Além disso, SuperCard X faz uso de TLS mútuo (mTLS) para assegurar a comunicação com sua infraestrutura C2.
Que atores da ameaça pudessem enganar usuários desavisados a alterar configurações críticas por chamadas telefônicas não passou despercebido pelo Google, que segundo informações está trabalhando em um novo recurso do Android que efetivamente bloqueia usuários de instalar aplicativos de fontes desconhecidas e conceder permissões a serviços de acessibilidade quando uma chamada está em andamento.
Embora atualmente não haja evidências de que o SuperCard X esteja sendo distribuído via Google Play Store, é aconselhado que os usuários examinem descrições de aplicativos, permissões e avaliações antes de baixá-los.
Também é recomendado manter o Google Play Protect ativado para proteger os dispositivos contra ameaças emergentes.
"Esta nova campanha introduz um significativo risco financeiro que se estende além dos alvos convencionais de instituições bancárias para afetar diretamente provedores de pagamento e emissores de cartões de crédito," disseram os pesquisadores.
A inovadora combinação de malware e relay NFC empodera os atacantes a realizar saques fraudulentos com cartões de débito e crédito.
Este método demonstra alta eficácia, especialmente quando direcionado a saques em ATM sem contato.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...