Una nueva plataforma de malware de Android como servicio (MAAS) citación Supercarde x puede allanar los ataques de retransmisión de comunicación cercana al campo (NFC), lo que permite que los ciberdelincuentes realicen retacos fraudulentos.
La campaña activa está dirigida a clientes de instituciones bancarias y emisores de tarjetas en Italia con el objetivo de comprometer los datos de la plástico de cuota, dijo la firma de prevención de fraude Clafy en un disección. Hay evidencia que sugiere que el servicio se promueve en los canales de telegrama.
SuperCard X «emplea un enfoque de varias etapas que combina la ingeniería social (a través de amantes y llamadas telefónicas), instalación de aplicaciones maliciosas e intercepción de datos de NFC para un fraude mucho efectivo», dijeron los investigadores de seguridad Federico Valentini, Alessandro Strino y Michele Roviello.
El nuevo malware Android, el trabajo de un actor de amenaza de deje china, se ha observado que se propaga a través de tres aplicaciones falsas diferentes, engañando a las víctimas para instalarlas a través de técnicas de ingeniería social como SMS engañosos o mensajes de WhatsApp –
- VERIFICA CARA (io.dxpay.remotenfc.superercard11)
- Supercard X (io.dxpay.remotenfc.superperd)
- Kingcard NFC (io.dxpay.remotenfc.superercard)
Los mensajes se hacen acaecer por alertas de seguridad bancaria para inducir una falsa sensación de necesidad al instar a los destinatarios a chillar a un número específico para disputar la transacción.
La prisión de infecciones luego se mueve a lo que se vehemencia una entrega de ataque orientada al teléfono (sapo), donde los actores de amenaza manipulan a las víctimas para instalar la aplicación bajo la apariencia del software de seguridad a través de conversaciones de teléfonos directos. Todavía se ha antagónico que los actores de la amenaza emplean tácticas persuasivas para obtener los pasadores de las víctimas e instruirles que eliminen los límites de plástico existentes, lo que les permite drenar los fondos fácilmente.
En el centro de la operación hay una técnica de retransmisión NFC previamente indocumentada que permite a los actores de amenaza autorizar fraudulentamente los pagos de punto de saldo (POS) y retiros de cajeros automáticos (ATM) al interceptar y transmitir comunicaciones de NFC de dispositivos infectados.
Para hacer esto, los atacantes instan a las víctimas a que traigan su débito o plástico de crédito en una proximidad física cercana a su dispositivo móvil, lo que permite que la supercardia X malware capture sigilosamente los detalles de la plástico transmitida y los transmitan a un servidor foráneo. La información de la plástico cosechada se utiliza en un dispositivo controlado por el actor de amenaza para realizar transacciones no autorizadas.
La aplicación que se distribuye a las víctimas para capturar datos de la plástico NFC se vehemencia leedor. Se instala una aplicación similar conocida como Tapper en el dispositivo de actor de amenaza para admitir la información de la plástico. La comunicación entre el leedor y el Tapper se lleva a agarradera utilizando HTTP para comando y control (C2) y requiere que se registren los cibercriminales.
Como resultado, se paciencia que los actores de amenaza creen una cuenta internamente de la plataforma Supercard X antiguamente de distribuir las aplicaciones maliciosas, luego de lo cual se les indica a las víctimas que ingresen las credenciales de inicio de sesión que se les proporcionan durante la citación telefónica.
Este paso sirve como un engranaje secreto en el ataque caudillo, ya que establece el vínculo entre el dispositivo infectado de la víctima y la instancia de Tapper del actor de amenaza, que luego permite que los datos de la plástico se transmitan para obtener en efectivo posterior. La aplicación Tapper asimismo está diseñada para luchar la plástico de la víctima utilizando los datos robados, engañando así los terminales y cajeros automáticos para reconocerla como una plástico legítima.
Los artefactos de malware del «leedor» identificados por Cleafy tienen diferencias sutiles en la pantalla de inicio de sesión, lo que indica que son compilaciones personalizadas generadas por actores afiliados para adaptar las campañas de acuerdo con sus deyección. Por otra parte, SuperCard X utiliza TLS mutuo (MTL) para afianzar la comunicación con su infraestructura C2.
Que los actores de amenaza puedan engañar a los usuarios desprevenidos para que alteren la configuración crítica a través de las llamadas telefónicas no ha pasado desapercibido para Google, lo que se dice que está trabajando en una nueva función de Android que impide que los usuarios instalen aplicaciones de fuentes desconocidas y otorgan permisos a los servicios de accesibilidad.
Si proporcionadamente actualmente no hay evidencia de que Supercard X se distribuya a través de Google Play Store, se recomienda a los usuarios que analicen las descripciones de aplicaciones, permisos y revisiones antiguamente de descargarlas. Todavía se recomienda perdurar a Google Play Protect cobrador para proteger los dispositivos contra las amenazas emergentes.
«Esta nueva campaña presenta un peligro financiero significativo que se extiende más allá de los objetivos convencionales de las instituciones bancarias para afectar directamente a los proveedores de pagos y a los emisores de tarjetas de crédito», dijeron los investigadores.
«La combinación innovadora de Relay de Malware y NFC permite a los atacantes realizar efectivo fraudulentos con tarjetas de débito y crédito. Este método demuestra una adhesión operatividad, especialmente cuando se dirige a los retiros de cajeros automáticos sin contacto».
