Обнаружена новая вредоносная платформа по модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS) под названием SuperCard X, нацеленная на устройства Android. Она используется для проведения атак с ретрансляцией NFC, что позволяет злоумышленникам выполнять транзакции в торговых точках и банкоматах, используя украденные данные платежных карт.
SuperCard X связывают с хакерами из Китая. Код программы напоминает открытый проект NFCGate и его зловредную модификацию NGate, которая использовалась для атак в Европе с прошлого года.
Платформа продвигается через Telegram-каналы, где также предоставляется техподдержка для «клиентов».
SuperCard X была обнаружена компанией Cleafy, занимающейся мобильной безопасностью. Компания зафиксировала атаки с использованием этой вредоносной программы в Италии. В атаках использовались разные версии зловреда, что говорит о том, что партнерам предлагаются кастомные сборки, адаптированные под регион или конкретные нужды.
Как проходит атака SuperCard X
Жертва получает поддельное SMS или сообщение в WhatsApp от имени своего банка с просьбой позвонить по номеру из-за подозрительной транзакции.
На звонок отвечает мошенник, выдающий себя за сотрудника банка. С помощью социальной инженерии он убеждает жертву «подтвердить» номер карты и PIN-код.
Затем жертву уговаривают снять лимиты на траты в банковском приложении.
Далее мошенники просят установить вредоносное приложение под видом утилиты безопасности или проверки — это и есть зараженное приложение Reader с SuperCard X внутри.
Приложение запрашивает минимальные разрешения, в основном доступ к модулю NFC — этого достаточно для кражи данных.
Жертву просят приложить карту к телефону «для проверки», и в этот момент зловред считывает данные с чипа карты и передает их злоумышленникам.
На другом Android-устройстве у мошенников установлено приложение Tapper, которое эмулирует карту жертвы с использованием полученных данных.
Это позволяет производить бесконтактные платежи и снимать наличные в банкоматах (в рамках лимитов), при этом такие операции выглядят законными и не вызывают подозрений у банков.
Обход защитных механизмов
По данным Cleafy, SuperCard X пока не обнаруживается антивирусами на VirusTotal, а также избегает использования подозрительных разрешений и функций (например, наложения экранов).
Эмуляция карты основана на технологии ATR (Answer to Reset), что делает карту «на вид» подлинной для терминалов оплаты. Это свидетельствует о технической продвинутости и знании протоколов смарт-карт.
Также используется TLS-аутентификация Mutual TLS (mTLS) для защиты канала связи между клиентом и сервером от анализа со стороны исследователей и правоохранительных органов.
Компания Google дала свой комментарий по поводу обнаружения зловреда:
На основе текущей системы обнаружения, ни одно приложение с этим вредоносным ПО не размещено в Google Play. Пользователи Android защищены системой Google Play Защита, которая включена по умолчанию на устройствах с Сервисами Google Play. Play Защита может предупреждать пользователей или блокировать вредоносные приложения, даже если они загружены не из Google Play.
Угрозы безопасности
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания
• Apple устранила две уязвимости нулевого дня, которые использовались в атаках на iPhone
• В Chrome 136 будет устранена многолетняя проблема конфиденциальности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS