SuperCard X è una nuova piattaforma di malware-as-a-service (MaaS) per Android che sfrutta attacchi di relay NFC per consentire ai cybercriminali di eseguire prelievi fraudolenti. Questa campagna è attualmente attiva in Italia e punta a clienti di istituzioni bancarie e emittenti di carte, mirando a compromettere i dati delle carte di pagamento. Secondo un'analisi di Cleafy, un’azienda di prevenzione delle frodi, il servizio è promosso su canali Telegram, suggerendo una distribuzione più ampia del malware.

Approccio Multi-Stadio

SuperCard X adotta un approccio multi-stadio che combina ingegneria sociale, tramite smishing e telefonate, installazione di applicazioni dannose e intercettazione di dati NFC per una frode altamente efficace. I ricercatori hanno osservato che il malware viene propagato attraverso tre diverse app false: Verifica Carta, SuperCard X e KingCard NFC, ingannando le vittime tramite tecniche di ingegneria sociale come SMS o messaggi WhatsApp ingannevoli. Questi messaggi impersonano avvisi di sicurezza bancaria per creare un falso senso di urgenza, spingendo i destinatari a chiamare un numero specifico per contestare transazioni sospette.

Attacco TOAD

Una volta instaurato il contatto, la catena di infezione si sposta su un attacco di tipo TOAD (Telephone-Oriented Attack Delivery), dove gli attori minacciosi manipolano le vittime per installare l'app sotto la falsa veste di software di sicurezza. Durante le conversazioni telefoniche, i cybercriminali utilizzano tattiche persuasive per ottenere i PIN delle vittime e istruire la rimozione di eventuali limiti di prelievo, consentendo così il drenaggio dei fondi.

Tecnica NFC Relay

Al centro dell'operazione vi è una tecnica NFC relay non documentata che permette di autorizzare fraudolentemente pagamenti PoS e prelievi ATM intercettando e trasmettendo comunicazioni NFC dai dispositivi infetti. Gli aggressori invitano le vittime a avvicinare la loro carta di debito o credito al dispositivo mobile, permettendo al malware di catturare i dati della carta e trasferirli a un server esterno. Le informazioni raccolte vengono poi utilizzate su un dispositivo controllato dai criminali per effettuare transazioni non autorizzate.

Applicazioni Malevole

L'applicazione distribuita alle vittime per catturare i dati NFC delle carte è chiamata Reader. Un'app simile, conosciuta come Tapper, è installata sul dispositivo degli attori minacciosi per ricevere le informazioni della carta. La comunicazione tra Reader e Tapper avviene tramite HTTP per il comando e controllo (C2) e richiede ai cybercriminali di effettuare il login. Gli attori sono quindi tenuti a creare un account sulla piattaforma SuperCard X prima di distribuire le app malevole, e le vittime sono istruite a inserire le credenziali di accesso fornite durante la chiamata.

Processo di Attacco

Questo passaggio è cruciale per l'attacco complessivo, poiché stabilisce il collegamento tra il dispositivo infetto della vittima e l'istanza Tapper dell'attore minaccioso, consentendo il trasferimento dei dati della carta per prelievi successivi. L'app Tapper è progettata per emulare la carta della vittima usando i dati rubati, ingannando così i terminali PoS e gli ATM facendoli riconoscere come carte legittime.