SuperCard X: il nuovo malware Android che minaccia i pagamenti Nfc

SuperCard X, il malware Android per i pagamenti NFC

Questa frode colpisce direttamente le carte di pagamento, bypassando le protezioni bancarie tradizionali indipendentemente dall’istituto finanziario. È veloce e difficile da bloccare, perché i fondi rubati vengono trasferiti istantaneamente e utilizzati subito per acquisti. Un problema serio che richiede soluzioni di sicurezza più rapide ed efficaci.
Ecco riassunte alcune caratteristiche tipiche del malware SuperCard X identificate da Cleafy:

• basso profilo: Il malware mantiene un basso tasso di rilevamento tra le soluzioni antivirus in quanto richiederebbe permessi Android essenziali e sfrutterebbe attacchi di tipo NFC relay;
• somiglianze con NGate: il codice presenterebbe forti analogie con un altro malware già noto, NGate, suggerendo una possibile evoluzione del suo codice.
• alta diffusione e impatto: la piattaforma MaaS venendo promossa tramite canali Telegram anche con supporto diretto agli affiliati, ne amplificherebbe diffusione e impatto.

“Un aspetto particolarmente importante dell’ecosistema SuperCard X è l’esistenza di un canale Telegram ufficiale che funge da punto di riferimento per clienti, affiliati e acquirenti nello stesso schema di un MaaS (Malware-as-a-Service). Il canale, gestito da utenti che parlano cinese, pubblicano costantemente aggiornamenti, annunci, guide all’uso e persino video dimostrativi dell’app in funzione come il seguente”, commenta anche l’esperto Andrea Draghetti di D3Lab nel suo recente report.

La catena d’attacco TOAD

In pratica l’installazione del malware su dispositivi avviene attraverso tecniche di ingegneria sociale, come smishing (phishing via SMS) e messaggi WhatsApp, inducendo le vittime a chiamare i truffatori spacciati come operatori di assistenza.

In uno scenario tipico di attacco telefonico TOAD (Telephone-Oriented Attack Delivery, in cui i falsi assistenti telefonici sfruttano le conversazioni telefoniche dirette per manipolare le loro vittime), durante le chiamate, gli attaccanti cercano di ottenere i PIN delle carte e di guidare le vittime a rimuovere le soglie di spesa e indurle a installare un’app malevola, camuffata da strumento di sicurezza o di verifica che nasconde in realtà SuperCard X.

Una volta installato, il malware leggerebbe i dati i dati del chip della carta contactless eventualmente avvicinata sullo smartphone infetto (il truffatore chiederebbe alla vittima di avvicinare la propria carta di pagamento al telefono per verificarla), inviandoli agli attaccanti.

I dettagli su come funziona SuperCard X

Infatti, una volta acquisiti i dati NFC, SuperCard X sarebbe in grado di trasmetterli in tempo reale a un dispositivo remoto e presidiato che eseguirebbe la transazione, tramite POS o bancomat, come se fosse in possesso della carta fisica.

Secondo i ricercatori Cleafy nel loro rapporto, SuperCard X utilizzerebbe due app collegate tramite server C2 condivisi via http (api.kingcardnfc[.]com, api.kingnfc[.]com, api.payforce-x[.]com): un’app Reader distribuita sui dispositivi delle vittime per catturare i dati delle carte NFC, e un’app Tapper, la cui esecuzione sui dispositivi degli attori malevoli permette di trasmettere e utilizzare in modo improprio i dati rubati.

Altri aspetti degni di nota

Gli analisti malware Cleafy sottolineano inoltre l’accurata conoscenza tecnica da parte dell’attore delle minacce dei protocolli delle smartcard, specificando che l’emulazione delle carte sarebbe basata su messaggi ATR (Answer to Reset), che consentirebbero di far apparire legittime le carte virtuali utilizzate nelle transazioni fraudolente.

“Vale la pena sottolineare che l’applicazione ‘Reader’ contiene un file incorporato che memorizza diversi messaggi ATR (Answer To Reset). Questi messaggi, pronti per avviare e negoziare i parametri di comunicazione tra una smart card e un lettore NFC, vengono riutilizzati per facilitare l’emulazione della carta.

Quando il Reader acquisisce e inoltra i dati della carta di una vittima, l’ATR corrispondente viene trasmesso tramite l’infrastruttura C2 al dispositivo “Tapper”, che utilizzerà questo messaggio per emulare una carta virtuale, inducendo efficacemente i terminali POS (Point-of-Sale) o gli sportelli bancomat (ATM) a riconoscerla come una carta fisica legittima”.

In aggiunta per ostacolare eventuali tentativi di intercettazioni e analisi, le comunicazioni C2 tra le due app Reader e Tapper sarebbero protette tramite l’impiego del Mutual TLS (mTLS), un robusto meccanismo di autenticazione basato su certificati.

SuperCard X dimostra che gli attacchi NFC relay non sono più teorici

Sebbene il rilevamento dei primi casi sia avvenuto in Italia, la struttura MaaS del malware indica che potrebbe essere att ivo anche in altri Paesi.

Gli obiettivi principali sono i clienti di istituzioni bancarie e emittenti di carte, sia tradizionali che digitali. Questa campagna dimostra come la sicurezza dei pagamenti mobili sia costantemente sotto assedio.

Gli attacchi NFC relay, finora considerati scenari teorici, stanno diventando realtà operativi grazie a strumenti come SuperCard X.
“Sebbene questo tipo di attacco si basi su tecniche di ingegneria sociale relativamente semplici, si dimostra altamente efficace, sia in termini di tasso di successo che di efficienza di incasso”, prosegue il rapporto e conclude: “L’utilizzo di più vettori di attacco all’interno della stessa campagna fraudolenta aggiunge un ulteriore livello di complessità. Questo approccio multicanale pone ulteriori sfide per le attività di monitoraggio e sottolinea la crescente necessità di capacità di rilevamento in tempo reale”.
Le banche e gli utenti devono pertanto prestare la massima attenzione.