Atsirado nauja kenkėjiškų programų kaip paslaugos (MAAS) platforma, pavadinta „Supercard X“, nukreipta į „Android“ įrenginius per NFC relės atakas, kurios įgalina pardavimo tašką ir ATM operacijas, naudojant pažeistus mokėjimo kortelių duomenis.
„Supercard X“ yra susijęs su kinų kalbų grėsmės veikėjais ir parodo kodų panašumus su atvirojo kodo projektu NFCGATE ir jo kenksmingu nerštuku „Ngate“, kuris nuo praėjusių metų palengvino išpuolius Europoje.
Kenkėjiškų programų, kaip paslaugų, platforma yra reklamuojama per telegramų kanalus, kurie taip pat siūlo tiesioginę paramą „klientams“.
„Supercard X“ atrado mobiliųjų saugumo įmonė „Cleafy“, kurioje pranešama, kad matydami išpuolius, naudojančius šią „Android“ kenkėjišką programą Italijoje. Šie atakos apėmė kelis pavyzdžius su subtiliais skirtumais, tai rodo, kad dukterinėms įmonėms siūloma galimybė pasirinkti pagal užsakymą, pritaikytą regioniniams ar kitiems specifiniams poreikiams.
Kaip atsiskleidžia „Supercard X“ atakos
Išpuolis prasideda nuo to, kad auka gavo netikrą SMS arba „WhatsApp“ pranešimą, apsimetantį jų banku, teigdama, kad jiems reikia paskambinti į numerį, kad išspręstų įtartino sandorio sukeltus problemas.
Skambučius atsako sukčiai, pozuojantys kaip banko palaikymas, kuris naudojasi socialine inžinerija, norėdama apgauti auką, kad „patvirtintų“ jų kortelės numerį ir PIN. Tada jie bando įtikinti vartotoją pašalinti išlaidų apribojimus naudodamiesi jų bankininkystės programa.
Galiausiai grėsmės veikėjai įtikina vartotojus įdiegti kenksmingą programą (skaitytoją), paslėptą kaip saugos ar patikrinimo įrankį, kuriame yra „Supercard X“ kenkėjiška programa.
Įdiegus skaitytojo programą prašo tik minimalių leidimų, daugiausia prieigos prie NFC modulio, kurio pakanka duomenų vagystei atlikti.
Sukčiai nurodo aukai bakstelėti savo mokėjimo kortelę į savo telefoną, kad patikrintų savo korteles, leisdamas kenkėjiškai programą skaityti kortelės lusto duomenis ir nusiųsti užpuolikams.
Užpuoliai šiuos duomenis gauna savo „Android“ įrenginyje, kuriame veikia kita programa, pavadinta „Tapper“, kuri imituoja aukos kortelę, naudodamas pavogtus duomenis.
Šaltinis: Cleafy
Šios „imituojamos“ kortelės leidžia užpuolikams mokėti bekontakčius parduotuvėse ir išimti bankomatas, nors galioja sumos ribos. Kadangi šie maži sandoriai yra momentiniai ir atrodo teisėti bankams, jas sunkiau pažymėti ir pakeisti.
Šaltinis: Cleafy
VEIKSLINĖS KETINĖ INDIKACIJA
Cleafy pažymi, kad „Supercard X“ šiuo metu nėra pažymėta jokiais antivirusiniais varikliais ant „Virustotal“ ir dėl rizikingų leidimų užklausų ir agresyvių atakų ypatybių, tokių kaip ekrano perdanga, užtikrina, kad jis neatsiras nuo euristinių nuskaitymų radaro.
Kortelės emuliacija yra pagrįsta ATR (atsakymas į „Reset“), todėl kortelė atrodo teisėta mokėjimo terminalams ir parodo techninę brandą ir supratimą apie „SmartCard“ protokolus.
Kitas pastebimas techninis aspektas yra tarpusavio TLS (MTLS) naudojimas sertifikatų kliento/serverio autentifikavimui, užtikrinant C2 ryšius nuo tyrėjų ar teisėsaugos perėmimo ir analizės.
Šaltinis: Cleafy
„Bleepingcomputer“ susisiekė su „Google“, norėdamas pakomentuoti „Supercard X“ veiklą, o atstovas atsiuntė žemiau pateiktą pareiškimą.
„Remiantis mūsų dabartiniu aptikimu,„ Google Play “nerasta jokių programų, kuriose yra ši kenkėjiška programa.„ Android “vartotojams automatiškai apsaugo„ Google Play Protect “, kuri pagal numatytuosius nustatymus„ Android “įrenginiuose su„ Google Play “paslaugomis. – „Google“ atstovas spaudai
