Platform Android Malware-as-A-Service (MAAS) baru bernama Supercard x Dapat memfasilitasi serangan relai komunikasi dekat-lapangan (NFC), memungkinkan penjahat cyber untuk melakukan cashout penipuan.
Kampanye aktif menargetkan pelanggan lembaga perbankan dan penerbit kartu di Italia dengan tujuan untuk mengkompromikan data kartu pembayaran, perusahaan pencegahan penipuan Cleafy mengatakan dalam sebuah analisis. Ada bukti yang menunjukkan bahwa layanan dipromosikan di saluran telegram.
Supercard X “menggunakan pendekatan multi-tahap yang menggabungkan rekayasa sosial (melalui smishing dan panggilan telepon), instalasi aplikasi berbahaya, dan intersepsi data NFC untuk penipuan yang sangat efektif,” kata peneliti keamanan Federico Valentini, Alessandro Strino, dan Michele Roviello.
Malware Android yang baru, karya aktor ancaman berbahasa Mandarin, telah diamati disebarkan melalui tiga aplikasi palsu yang berbeda, menipu korban untuk memasangnya melalui teknik rekayasa sosial seperti SMS yang menipu atau pesan WhatsApp –
- Verifica carta (io.dxpay.remotenfc.supercard11)
- Supercard x (io.dxpay.remotenfc.supercard)
- Kingcard NFC (IO.DXPAY.REMOTENFC.SUPERCARD)
Pesan -pesan tersebut menyamar sebagai peringatan keamanan bank untuk mendorong rasa urgensi yang salah dengan mendesak penerima untuk memanggil nomor tertentu untuk membantah transaksi.
Rantai infeksi kemudian pindah ke apa yang disebut pengiriman serangan berorientasi telepon (TOAD), di mana aktor ancaman memanipulasi korban untuk menginstal aplikasi dengan kedok perangkat lunak keamanan melalui percakapan telepon langsung. Aktor ancaman juga telah ditemukan menggunakan taktik persuasif untuk mengumpulkan pin korban dan menginstruksikan mereka untuk menghapus batas kartu yang ada, sehingga memungkinkan mereka untuk mengeringkan dana dengan mudah.
Inti dari operasi adalah teknik relai NFC yang sebelumnya tidak berdokumen yang memungkinkan aktor ancaman untuk secara curang mengesahkan pembayaran point-of-sale (POS) dan penarikan mesin teller otomatis (ATM) dengan mencegat dan menyampaikan komunikasi NFC dari perangkat yang terinfeksi.
Untuk melakukan ini, para penyerang mendesak para korban untuk membawa kartu debit atau kredit mereka dalam kedekatan fisik yang erat dengan perangkat seluler mereka, yang kemudian memungkinkan malware Supercard X untuk secara diam -diam menangkap detail kartu yang ditransmisikan dan menyampaikannya ke server eksternal. Informasi kartu yang dipanen kemudian digunakan pada perangkat yang dikendalikan aktor ancaman untuk melakukan transaksi yang tidak sah.
Aplikasi yang didistribusikan kepada para korban untuk menangkap data kartu NFC disebut pembaca. Aplikasi serupa yang dikenal sebagai Tapper diinstal pada perangkat aktor ancaman untuk menerima informasi kartu. Komunikasi antara pembaca dan penyadap dilakukan dengan menggunakan HTTP untuk perintah-dan-kontrol (C2) dan membutuhkan penjahat cyber untuk masuk.
Akibatnya, aktor ancaman diharapkan membuat akun dalam platform Supercard X sebelum mendistribusikan aplikasi jahat, setelah itu para korban diperintahkan untuk memasukkan kredensial login yang diberikan kepada mereka selama panggilan telepon.
Langkah ini berfungsi sebagai roda penggerak utama dalam serangan keseluruhan karena menetapkan hubungan antara perangkat yang terinfeksi korban dan instance penyadap aktor ancaman, yang kemudian memungkinkan data kartu untuk disampaikan untuk uang tunai berikutnya. Aplikasi Tapper juga dirancang untuk meniru kartu korban menggunakan data yang dicuri, sehingga membodohi terminal dan ATM POS untuk mengenalinya sebagai kartu yang sah.
Artefak malware “pembaca” yang diidentifikasi oleh Cleafy membawa perbedaan halus di layar login, menunjukkan bahwa mereka adalah build khusus yang dihasilkan oleh aktor afiliasi untuk menyesuaikan kampanye sesuai dengan kebutuhan mereka. Selain itu, SuperCard X memanfaatkan TLS Mutual (MTLS) untuk mengamankan komunikasi dengan infrastruktur C2 -nya.
Aktor ancaman itu dapat menipu pengguna yang tidak curiga untuk mengubah pengaturan kritis atas panggilan telepon tidak luput dari perhatian oleh Google, yang dikatakan sedang mengerjakan fitur Android baru yang secara efektif memblokir pengguna dari menginstal aplikasi dari sumber yang tidak diketahui dan memberikan izin ke layanan aksesibilitas.
Meskipun saat ini tidak ada bukti bahwa SuperCard X didistribusikan melalui Google Play Store, pengguna disarankan untuk meneliti deskripsi aplikasi, izin, dan ulasan sebelum mengunduhnya. Juga disarankan untuk menjaga Google Play Protect diaktifkan untuk melindungi perangkat terhadap ancaman yang muncul.
“Kampanye baru ini memperkenalkan risiko keuangan yang signifikan yang melampaui target konvensional lembaga perbankan untuk memengaruhi penyedia pembayaran dan penerbit kartu kredit secara langsung,” kata para peneliti.
“Kombinasi inovatif dari malware dan NFC Relay memberdayakan penyerang untuk melakukan cash-out curang dengan kartu debit dan kredit. Metode ini menunjukkan kemanjuran tinggi, terutama ketika menargetkan penarikan ATM tanpa kontak.”
