Una nueva plataforma de malware de Android como servicio (MAAS) llamada Supercarde x puede facilitar los ataques de retransmisión de comunicación cercana al campo (NFC), lo que permite que los ciberdelincuentes realicen retacos fraudulentos.
La campaña activa está dirigida a clientes de instituciones bancarias y emisores de tarjetas en Italia con el objetivo de comprometer los datos de la tarjeta de pago, dijo la firma de prevención de fraude Clafy en un análisis. Hay evidencia que sugiere que el servicio se promueve en los canales de telegrama.
SuperCard X «emplea un enfoque de varias etapas que combina la ingeniería social (a través de amantes y llamadas telefónicas), instalación de aplicaciones maliciosas e intercepción de datos de NFC para un fraude altamente efectivo», dijeron los investigadores de seguridad Federico Valentini, Alessandro Strino y Michele Roviello.
El nuevo malware Android, el trabajo de un actor de amenaza de habla china, se ha observado que se propaga a través de tres aplicaciones falsas diferentes, engañando a las víctimas para instalarlas a través de técnicas de ingeniería social como SMS engañosos o mensajes de WhatsApp –
- VERIFICA CARA (io.dxpay.remotenfc.superercard11)
- Supercard X (io.dxpay.remotenfc.superperd)
- Kingcard NFC (io.dxpay.remotenfc.superercard)
Los mensajes se hacen pasar por alertas de seguridad bancaria para inducir una falsa sensación de urgencia al instar a los destinatarios a llamar a un número específico para disputar la transacción.
La cadena de infecciones luego se mueve a lo que se llama una entrega de ataque orientada al teléfono (sapo), donde los actores de amenaza manipulan a las víctimas para instalar la aplicación bajo la apariencia del software de seguridad a través de conversaciones de teléfonos directos. También se ha encontrado que los actores de la amenaza emplean tácticas persuasivas para obtener los pasadores de las víctimas e instruirles que eliminen los límites de tarjeta existentes, lo que les permite drenar los fondos fácilmente.
En el centro de la operación hay una técnica de retransmisión NFC previamente indocumentada que permite a los actores de amenaza autorizar fraudulentamente los pagos de punto de venta (POS) y retiros de cajeros automáticos (ATM) al interceptar y transmitir comunicaciones de NFC de dispositivos infectados.
Para hacer esto, los atacantes instan a las víctimas a que traigan su débito o tarjeta de crédito en una proximidad física cercana a su dispositivo móvil, lo que permite que la supercardia X malware capture sigilosamente los detalles de la tarjeta transmitida y los transmitan a un servidor externo. La información de la tarjeta cosechada se utiliza en un dispositivo controlado por el actor de amenaza para realizar transacciones no autorizadas.
La aplicación que se distribuye a las víctimas para capturar datos de la tarjeta NFC se llama lector. Se instala una aplicación similar conocida como Tapper en el dispositivo de actor de amenaza para recibir la información de la tarjeta. La comunicación entre el lector y el Tapper se lleva a cabo utilizando HTTP para comando y control (C2) y requiere que se registren los cibercriminales.
Como resultado, se espera que los actores de amenaza creen una cuenta dentro de la plataforma Supercard X antes de distribuir las aplicaciones maliciosas, después de lo cual se les indica a las víctimas que ingresen las credenciales de inicio de sesión que se les proporcionan durante la llamada telefónica.
Este paso sirve como un engranaje clave en el ataque general, ya que establece el vínculo entre el dispositivo infectado de la víctima y la instancia de Tapper del actor de amenaza, que luego permite que los datos de la tarjeta se transmitan para obtener en efectivo posterior. La aplicación Tapper también está diseñada para emular la tarjeta de la víctima utilizando los datos robados, engañando así los terminales y cajeros automáticos para reconocerla como una tarjeta legítima.
Los artefactos de malware del «lector» identificados por Cleafy tienen diferencias sutiles en la pantalla de inicio de sesión, lo que indica que son compilaciones personalizadas generadas por actores afiliados para adaptar las campañas de acuerdo con sus necesidades. Además, SuperCard X utiliza TLS mutuo (MTL) para asegurar la comunicación con su infraestructura C2.
Que los actores de amenaza puedan engañar a los usuarios desprevenidos para que alteren la configuración crítica a través de las llamadas telefónicas no ha pasado desapercibido para Google, lo que se dice que está trabajando en una nueva función de Android que impide que los usuarios instalen aplicaciones de fuentes desconocidas y otorgan permisos a los servicios de accesibilidad.
Si bien actualmente no hay evidencia de que Supercard X se distribuya a través de Google Play Store, se recomienda a los usuarios que analicen las descripciones de aplicaciones, permisos y revisiones antes de descargarlas. También se recomienda mantener a Google Play Protect habilitado para proteger los dispositivos contra las amenazas emergentes.
«Esta nueva campaña presenta un riesgo financiero significativo que se extiende más allá de los objetivos convencionales de las instituciones bancarias para afectar directamente a los proveedores de pagos y a los emisores de tarjetas de crédito», dijeron los investigadores.
«La combinación innovadora de Relay de Malware y NFC permite a los atacantes realizar efectivo fraudulentos con tarjetas de débito y crédito. Este método demuestra una alta eficacia, especialmente cuando se dirige a los retiros de cajeros automáticos sin contacto».