Una nueva plataforma de malware de Android como servicio (MAAS) emplazamiento Supercarde x puede proporcionar los ataques de retransmisión de comunicación cercana al campo (NFC), lo que permite que los ciberdelincuentes realicen retacos fraudulentos.
La campaña activa está dirigida a clientes de instituciones bancarias y emisores de tarjetas en Italia con el objetivo de comprometer los datos de la maleable de plazo, dijo la firma de prevención de fraude Clafy en un descomposición. Hay evidencia que sugiere que el servicio se promueve en los canales de telegrama.
SuperCard X “emplea un enfoque de varias etapas que combina la ingeniería social (a través de amantes y llamadas telefónicas), instalación de aplicaciones maliciosas e intercepción de datos de NFC para un fraude enormemente efectivo”, dijeron los investigadores de seguridad Federico Valentini, Alessandro Strino y Michele Roviello.
El nuevo malware Android, el trabajo de un actor de amenaza de acento china, se ha observado que se propaga a través de tres aplicaciones falsas diferentes, engañando a las víctimas para instalarlas a través de técnicas de ingeniería social como SMS engañosos o mensajes de WhatsApp –
- VERIFICA CARA (io.dxpay.remotenfc.superercard11)
- Supercard X (io.dxpay.remotenfc.superperd)
- Kingcard NFC (io.dxpay.remotenfc.superercard)
Los mensajes se hacen acontecer por alertas de seguridad bancaria para inducir una falsa sensación de necesidad al instar a los destinatarios a pulsar a un número específico para disputar la transacción.
La cautiverio de infecciones luego se mueve a lo que se flama una entrega de ataque orientada al teléfono (sapo), donde los actores de amenaza manipulan a las víctimas para instalar la aplicación bajo la apariencia del software de seguridad a través de conversaciones de teléfonos directos. Asimismo se ha enfrentado que los actores de la amenaza emplean tácticas persuasivas para obtener los pasadores de las víctimas e instruirles que eliminen los límites de maleable existentes, lo que les permite drenar los fondos fácilmente.
En el centro de la operación hay una técnica de retransmisión NFC previamente indocumentada que permite a los actores de amenaza autorizar fraudulentamente los pagos de punto de saldo (POS) y retiros de cajeros automáticos (ATM) al interceptar y transmitir comunicaciones de NFC de dispositivos infectados.
Para hacer esto, los atacantes instan a las víctimas a que traigan su débito o maleable de crédito en una proximidad física cercana a su dispositivo móvil, lo que permite que la supercardia X malware capture sigilosamente los detalles de la maleable transmitida y los transmitan a un servidor foráneo. La información de la maleable cosechada se utiliza en un dispositivo controlado por el actor de amenaza para realizar transacciones no autorizadas.
La aplicación que se distribuye a las víctimas para capturar datos de la maleable NFC se flama conferenciante. Se instala una aplicación similar conocida como Tapper en el dispositivo de actor de amenaza para percibir la información de la maleable. La comunicación entre el conferenciante y el Tapper se lleva a límite utilizando HTTP para comando y control (C2) y requiere que se registren los cibercriminales.
Como resultado, se prórroga que los actores de amenaza creen una cuenta en el interior de la plataforma Supercard X antaño de distribuir las aplicaciones maliciosas, luego de lo cual se les indica a las víctimas que ingresen las credenciales de inicio de sesión que se les proporcionan durante la emplazamiento telefónica.
Este paso sirve como un engranaje secreto en el ataque caudillo, ya que establece el vínculo entre el dispositivo infectado de la víctima y la instancia de Tapper del actor de amenaza, que luego permite que los datos de la maleable se transmitan para obtener en efectivo posterior. La aplicación Tapper además está diseñada para rivalizar la maleable de la víctima utilizando los datos robados, engañando así los terminales y cajeros automáticos para reconocerla como una maleable legítima.
Los artefactos de malware del “conferenciante” identificados por Cleafy tienen diferencias sutiles en la pantalla de inicio de sesión, lo que indica que son compilaciones personalizadas generadas por actores afiliados para adaptar las campañas de acuerdo con sus deposición. Por otra parte, SuperCard X utiliza TLS mutuo (MTL) para consolidar la comunicación con su infraestructura C2.
Que los actores de amenaza puedan engañar a los usuarios desprevenidos para que alteren la configuración crítica a través de las llamadas telefónicas no ha pasado desapercibido para Google, lo que se dice que está trabajando en una nueva función de Android que impide que los usuarios instalen aplicaciones de fuentes desconocidas y otorgan permisos a los servicios de accesibilidad.
Si proporcionadamente actualmente no hay evidencia de que Supercard X se distribuya a través de Google Play Store, se recomienda a los usuarios que analicen las descripciones de aplicaciones, permisos y revisiones antaño de descargarlas. Asimismo se recomienda permanecer a Google Play Protect facultado para proteger los dispositivos contra las amenazas emergentes.
“Esta nueva campaña presenta un aventura financiero significativo que se extiende más allá de los objetivos convencionales de las instituciones bancarias para afectar directamente a los proveedores de pagos y a los emisores de tarjetas de crédito”, dijeron los investigadores.
“La combinación innovadora de Relay de Malware y NFC permite a los atacantes realizar efectivo fraudulentos con tarjetas de débito y crédito. Este método demuestra una inscripción poder, especialmente cuando se dirige a los retiros de cajeros automáticos sin contacto”.
