Експерти виявили MaaS-платформу (malware-as-a-service) SuperCard X, націлену на пристрої під управлінням Android. Вона дає змогу здійснювати relay-атаки за допомогою NFC і проводити транзакції в точках продажів і банкоматах, використовуючи скомпрометовані дані банківських карт.

За даними дослідників компанії Cleafy, SuperCard X пов’язана з китайськими хакерами і заснована на опенсорсному проєкті NFCGate і його шкідливій модифікації – NGate, яка використовується для атак на європейських користувачів. Повідомляється, що нова шкідлива платформа рекламується через Telegram-канали, де клієнтам також пропонується пряма підтримка.

Атаки починаються з того, що жертва отримує фальшиве SMS-повідомлення або повідомлення у WhatsApp. Від імені банку користувачеві повідомляють, що йому необхідно терміново зателефонувати за вказаним номером для вирішення проблем, пов’язаних з якоюсь підозрілою транзакцією.

На дзвінок, зрозуміло, відповідають зловмисники, які видають себе за службу підтримки банку. За допомогою соціальної інженерії вони змушують жертву «підтвердити» номер картки і повідомити PIN-код. Потім вони намагаються переконати користувача, що необхідно відключити обмеження на витрати в банківському додатку.

У підсумку шахраї переконують користувачів встановити шкідливий застосунок Reader, зазвичай замаскований під захисний або верифікаційний інструмент, і який містить малварь SuperCard X.

Після встановлення Reader запитує мінімальні дозволи на пристрої, оскільки головним для нього є отримання доступу до модуля NFC.

Після цього шахрай просить жертву прикласти банківську картку до телефону для верифікації, що дає змогу шкідливій програмі зчитати дані з картки і переслати їх зловмисникам. Хакери отримують ці дані на свій Android-пристрій, на якому запущено інший застосунок – Tapper, що емулює карту жертви за допомогою вкрадених даних.

У результаті такі емульовані картки дають змогу здійснювати безконтактні платежі в магазинах і знімати готівку в банкоматах, хоча при цьому діють обмеження за сумою. Оскільки невеликі транзакції здійснюються миттєво і здаються банкам легітимними, їх буває складно помітити і скасувати.

Cleafy зазначає, що наразі SuperCard X не виявляється жодним антивірусним рушієм на VirusTotal, не запитує потенційно небезпечних прав і не має агресивних функцій (наприклад, не накладає оверлеї на інші застосунки), що дає йому змогу вислизати від уваги евристичних сканерів.

Також наголошується, що емуляція карт заснована на ATR (Answer to Reset), внаслідок чого карта виглядає легітимною для платіжних терміналів.

Ще одним примітним аспектом цієї кампанії є використання взаємного TLS (mTLS) на основі сертифікатів для автентифікації клієнт-сервер, що дає змогу захистити C&C-комунікації від перехоплення та аналізу з боку дослідників або правоохоронних органів.

Представники Google заявили ЗМІ, що пов’язаних із SuperCard X додатків немає в магазині Google Play. За їхніми словами, користувачі захищені від подібних загроз системою Google Play Protect, яка ввімкнена за замовчуванням на всіх Android-девайсах із сервісами Google.