SuperCard X se propaga a través de tres diferentes aplicaciones falsas
Una nueva plataforma de malware como servicio (MaaS) para Android llamada SuperCard X puede facilitar ataques de retransmisión de comunicación de campo cercano (NFC, por sus singlas en inglés), lo que permite a los ciberdelincuentes realizar retiros de efectivo fraudulentos.
La campaña activa se dirige a clientes de instituciones bancarias y emisores de tarjetas en Italia con el objetivo de comprometer los datos de las tarjetas de pago, según informó en un análisis la firma de prevención de fraude Cleafy. Hay evidencia que sugiere que el servicio se promociona en canales de Telegram.
SuperCard X "emplea un enfoque de varias etapas que combina ingeniería social (a través de smishing y llamadas telefónicas), instalación de aplicaciones maliciosas e intercepción de datos NFC para lograr un fraude altamente efectivo", dijeron los investigadores de seguridad Federico Valentini, Alessandro Strino y Michele Roviello.
Se ha observado que el nuevo malware para Android, obra de un actor de amenazas de habla china, se propaga a través de tres diferentes aplicaciones falsas, engañando a las víctimas para que las instalen mediante técnicas de ingeniería social como mensajes SMS o WhatsApp engañosos:
- Verifica Carta (io.dxpay.remotenfc.supercard11)
- SuperCard X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
Los mensajes se hacen pasar por alertas de seguridad bancarias para inducir una falsa sensación de urgencia al instar a los destinatarios a llamar a un número específico para disputar una transacción relacionada con un pago saliente sospechoso.
La cadena de infección luego pasa a lo que se denomina "Ataque Orientado al Teléfono" (TOAD), donde los actores de amenazas manipulan a las víctimas para que instalen la aplicación bajo la apariencia de software de seguridad a través de conversaciones telefónicas directas. También se ha descubierto que los actores de amenazas emplean tácticas persuasivas para obtener los PIN de las víctimas y ordenarles que eliminen cualquier límite de tarjeta existente, lo que les permite vaciar los fondos fácilmente.
En el núcleo de la operación se encuentra una técnica de retransmisión NFC no documentada previamente que permite a los actores de amenazas autorizar de manera fraudulenta pagos en puntos de venta (PoS) y retiros de cajeros automáticos (ATM) interceptando y retransmitiendo comunicaciones NFC desde dispositivos infectados.
Para lograr esto, los atacantes instan a las víctimas a acercar físicamente su tarjeta de débito o crédito a su dispositivo móvil, lo que permite que el malware SuperCard X capture sigilosamente los detalles de la tarjeta transmitidos y los retransmita a un servidor externo. La información de la tarjeta extraída luego se utiliza en un dispositivo controlado por un actor de amenazas para realizar transacciones no autorizadas.
La aplicación que se distribuye a las víctimas para capturar los datos de las tarjetas NFC se llama Reader. Una aplicación similar, llamada Tapper, se instala en el dispositivo del atacante para recibir la información de la tarjeta. La comunicación entre el lector y el Tapper se realiza mediante HTTP para comando y control (C2) y requiere que los ciberdelincuentes inicien sesión.
Como resultado, se espera que los actores de amenazas creen una cuenta dentro de la plataforma SuperCard X antes de distribuir las aplicaciones maliciosas, después de lo cual se les indica a las víctimas que ingresen las credenciales de inicio de sesión que se les proporcionaron durante la llamada telefónica.
Este paso sirve como un engranaje clave en el ataque general, ya que establece el vínculo entre el dispositivo infectado de la víctima y la instancia Tapper del actor de la amenaza, lo que luego permite que los datos de la tarjeta se transmitan para posteriores retiros de efectivo. La aplicación Tapper también está diseñada para emular la tarjeta de la víctima utilizando los datos robados, engañando así a las terminales PoS y a los cajeros automáticos para que la reconozcan como una tarjeta legítima.
Los artefactos de malware "Reader" identificados por Cleafy presentan sutiles diferencias en la pantalla de inicio de sesión, lo que indica que son compilaciones personalizadas generadas por actores afiliados para adaptar las campañas a sus necesidades. Además, SuperCard X utiliza TLS mutuo (mTLS) para proteger la comunicación con su infraestructura C2.
Que los actores de amenazas puedan engañar a usuarios desprevenidos para que alteren configuraciones críticas durante llamadas telefónicas no ha pasado desapercibido para Google, que se dice está trabajando en una nueva función de Android que bloquea efectivamente a los usuarios para que no instalen aplicaciones de fuentes desconocidas y otorgue permisos a los servicios de accesibilidad cuando hay una llamada en curso.
Aunque actualmente no hay evidencia de que SuperCard X se distribuya a través de Google Play Store, se recomienda a los usuarios revisar detenidamente las descripciones, los permisos y las reseñas de las aplicaciones antes de descargarlas. También se recomienda mantener habilitado Google Play Protect para proteger los dispositivos contra amenazas emergentes.
"Esta novedosa campaña introduce un significativo riesgo financiero que se extiende más allá de los objetivos convencionales de las instituciones bancarias y afecta directamente a los proveedores de pagos y a los emisores de tarjetas de crédito", dijeron los investigadores.
"La innovadora combinación de malware y relé NFC permite a los atacantes realizar retiros fraudulentos con tarjetas de débito y crédito. Este método demuestra una alta eficacia, especialmente al atacar retiros sin contacto en cajeros automáticos".
