Een nieuw Android Malware-as-a-Service (MAAS) -platform genaamd Supercard x Kan relaisaanvallen (NFC) -relaisaanvallen (NFC) vergemakkelijken, waardoor cybercriminelen frauduleuze cashouts kunnen uitvoeren.
De actieve campagne is gericht op klanten van bankinstellingen en kaartuitgevers in Italië met als doel betaalkaartgegevens in gevaar te brengen, zei Fraud Prevention Cheafy Cleafy in een analyse. Er zijn aanwijzingen dat de service wordt gepromoot op telegramkanalen.
Supercard X “maakt gebruik van een meerfasenbenadering die sociale engineering combineert (via Smishing en telefoongesprekken), de installatie van kwaadaardige applicatie en NFC-gegevensonderschikking voor zeer effectieve fraude,” zeiden beveiligingsonderzoekers Federico Valentini, Alessandro Strino en Michele Roviello.
De nieuwe Android -malware, het werk van een Chinees sprekende dreigingsacteur, is geobserveerd die wordt gepropageerd via drie verschillende nep -apps, duping slachtoffers om ze te installeren via sociale engineeringtechnieken zoals misleidende sms of whatsapp -berichten –
- Verifica carta (io.dxpay.remotenfc.supercard11)
- Supercard X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
De berichten die de bankbeveiligingswaarschuwingen voorleggen om een vals gevoel van urgentie te veroorzaken door ontvangers aan te sporen een specifiek nummer aan te roepen om de transactie te betwisten.
De infectieketen gaat vervolgens over naar wat een telefoongeoriënteerde aanvalsaflevering (Toad) wordt genoemd, waar de dreigingsacteurs slachtoffers manipuleren om de app te installeren onder het mom van beveiligingssoftware via directe telefoongesprekken. De dreigingsacteurs zijn ook gevonden om overtuigende tactieken te gebruiken om de pinnen van slachtoffers te verzamelen en te instrueren om bestaande kaartlimieten te verwijderen, waardoor ze de fondsen gemakkelijk kunnen aftappen.
De kern van de operatie is een eerder NFC-relaistechniek zonder papieren waarmee bedreigingsactoren frauduleus kunnen autoriseren, performingen (POS) betalingen en geautomatiseerde teller machine (ATM) opnames door NFC-communicatie van geïnfecteerde apparaten te onderscheppen en door te geven.
Om dit te doen, dringen de aanvallers de slachtoffers op aan om hun bankpas of creditcard in de buurt van fysieke nabijheid van hun mobiele apparaat te brengen, waardoor de SuperCard X -malware vervolgens de verzonden kaartgegevens zeer kan vastleggen en deze doorgeven aan een externe server. De geoogste kaartinformatie wordt vervolgens gebruikt op een door dreiging acteur-gecontroleerd apparaat om ongeautoriseerde transacties uit te voeren.
De aanvraag die aan slachtoffers wordt verdeeld voor het vastleggen van NFC -kaartgegevens wordt een lezer genoemd. Een vergelijkbare app die bekend staat als Tapper is geïnstalleerd op het apparaat van de dreigingsacteur om de kaartinformatie te ontvangen. Communicatie tussen de lezer en tapper wordt uitgevoerd met behulp van HTTP voor command-and-control (C2) en vereist dat cybercriminelen worden aangemeld.
Als gevolg hiervan wordt van dreigingsacteurs verwacht dat ze een account maken binnen het SuperCard X -platform voordat ze de kwaadaardige apps distribueren, waarna de slachtoffers de opdracht krijgen om de inloggegevens in te voeren tijdens het telefoongesprek.
Deze stap dient als een belangrijk tandwiel in de algehele aanval, omdat deze het verband legt tussen het geïnfecteerde apparaat van het slachtoffer en de tapperinstantie van de dreigingsacteur, waardoor de kaartgegevens vervolgens kunnen worden doorgegeven voor volgende contante outs. De tapper -app is ook ontworpen om de kaart van het slachtoffer na te streven met behulp van de gestolen gegevens, waardoor POS -terminals en geldautomaten worden gekregen om het te herkennen als een legitieme kaart.
De “lezer” malware -artefacten die worden geïdentificeerd door Cheamy dragen subtiele verschillen in het inlogscherm, wat aangeeft dat ze aangepaste builds zijn die door gelieerde acteurs zijn gegenereerd om de campagnes op hun behoeften aan te passen. Bovendien maakt SuperCard X gebruik van wederzijdse TLS (MTL’s) om de communicatie met zijn C2 -infrastructuur veilig te stellen.
Die dreigingsacteurs kunnen niet vermengende gebruikers misleiden om kritieke instellingen te wijzigen via telefoongesprekken is niet onopgemerkt gebleven door Google, waarvan wordt gezegd dat het werkt aan een nieuwe Android -functie die gebruikers effectief blokkeert om apps uit onbekende bronnen te installeren en toestemming te geven aan toegankelijkheidsdiensten.
Hoewel er momenteel geen bewijs is dat SuperCard X wordt gedistribueerd via de Google Play Store, wordt gebruikers geadviseerd om app -beschrijvingen, machtigingen en beoordelingen te onderzoeken voordat ze worden gedownload. Het wordt ook aanbevolen om Google Play Protect te laten beschermen, in staat om apparaten te beschermen tegen opkomende bedreigingen.
“Deze nieuwe campagne introduceert een aanzienlijk financieel risico dat verder gaat dan de conventionele doelen van bankinstellingen om betalingsaanbieders en creditcarduitgevers rechtstreeks te beïnvloeden,” zeiden de onderzoekers.
“De innovatieve combinatie van malware- en NFC-relais stelt aanvallers in staat om frauduleuze cash-outs uit te voeren met bankpas en creditcards. Deze methode toont een hoge effectiviteit, vooral bij het richten op contactloze ATM-opnames.”
