Các nhà nghiên cứu của Cleafy đã phát hiện ra dấu vết của phần mềm độc hại mới đang tấn công điện thoại thông minh Android. Được gọi là SuperCard X, phần mềm độc hại này nhắm vào thẻ ngân hàng của người dùng. Để đạt được mục tiêu của mình, virus triển khai các cuộc tấn công chuyển tiếp NFC (hay "tấn công chuyển tiếp" trong tiếng Anh). Loại tấn công mạng này nhắm vào các hệ thống không tiếp xúc, chẳng hạn như thẻ ngân hàng hoặc điện thoại thông minh sử dụng công nghệ NFC (Giao tiếp trường gần), bằng cách chặn liên lạc giữa hai thiết bị. Virus này rất giống với NGate, một loại virus tương tự khác được ESET phát hiện.
Ở đầu dây bên kia, tin tặc sẽ mạo danh là nhân viên dịch vụ khách hàng của ngân hàng. Dần dần, dịch vụ hỗ trợ giả mạo này sẽ thuyết phục nạn nhân cung cấp số thẻ và mã PIN để xác minh. Kẻ lừa đảo sau đó sẽ thúc đẩy bên kia nâng hạn mức chi tiêu trong tài khoản của họ bằng cách đăng nhập vào ứng dụng ngân hàng trên điện thoại thông minh của họ. Sau đó, tin tặc yêu cầu họ cài đặt một ứng dụng độc hại giả mạo là ứng dụng bảo mật hợp pháp và vô hại.
Ứng dụng này chứa mã của SuperCard X. Loại vi-rút này rất kín đáo và có thể lọt khỏi tầm ngắm của hầu hết các chương trình diệt vi-rút. Ứng dụng này không yêu cầu nhiều quyền của Android và "chỉ thu thập dữ liệu NFC và truyền qua kênh truyền thông, khiến dữ liệu khó bị phát hiện hơn". Tuy nhiên, ứng dụng này không vào được Play Store. Khi được Bleeping Computer hỏi, Google tuyên bố rằng không có ứng dụng "có chứa phần mềm độc hại này được tìm thấy trên Google Play."
Sau đó, kẻ tấn công sử dụng một ứng dụng đặc biệt có tên Tapper để sao chép thẻ ngân hàng. Ứng dụng này biến điện thoại Android thành thiết bị đầu cuối NFC giả, có thể hoạt động như thể đó là thẻ vật lý của nạn nhân. Từ đó, tin tặc có thể sử dụng điện thoại của mình để mua hàng hoặc thanh toán dịch vụ bằng cách ghi nợ tài khoản ngân hàng của mục tiêu. Thanh toán rõ ràng là không tiếp xúc. Để tránh cảnh báo gian lận, tội phạm mạng thường chỉ thực hiện các giao dịch nhỏ.
Theo cuộc điều tra của Cleafy, những tin tặc đứng sau vụ tấn công có nguồn gốc từ Trung Quốc. Những kẻ lừa đảo bán các công cụ của chúng, bao gồm cả virus SuperCard X, thông qua hình thức đăng ký. Các cuộc tấn công mạng sử dụng NFC và sao chép thẻ ngân hàng từ xa đã được báo cáo ở Ý. Rất có khả năng các hoạt động kiểu này đang diễn ra ở các quốc gia khác tại châu Âu, thậm chí trên toàn thế giới.
Nguồn: Cleafy
Dịch vụ khách hàng giả mạo
Đầu tiên, tin tặc sẽ liên hệ với mục tiêu qua SMS hoặc WhatsApp. Những kẻ lừa đảo sẽ giả vờ là ngân hàng của nạn nhân. Đây là một kỹ thuật rất phổ biến được tội phạm mạng sử dụng. Để gây hoảng loạn cho người đối thoại, họ sẽ giả vờ thực hiện một giao dịch đáng ngờ trên tài khoản ngân hàng của họ. Để giải quyết vấn đề và ngăn chặn các giao dịch gian lận tiềm ẩn tiếp theo, mục tiêu phải gọi đến một số điện thoại.Ở đầu dây bên kia, tin tặc sẽ mạo danh là nhân viên dịch vụ khách hàng của ngân hàng. Dần dần, dịch vụ hỗ trợ giả mạo này sẽ thuyết phục nạn nhân cung cấp số thẻ và mã PIN để xác minh. Kẻ lừa đảo sau đó sẽ thúc đẩy bên kia nâng hạn mức chi tiêu trong tài khoản của họ bằng cách đăng nhập vào ứng dụng ngân hàng trên điện thoại thông minh của họ. Sau đó, tin tặc yêu cầu họ cài đặt một ứng dụng độc hại giả mạo là ứng dụng bảo mật hợp pháp và vô hại.
Ứng dụng này chứa mã của SuperCard X. Loại vi-rút này rất kín đáo và có thể lọt khỏi tầm ngắm của hầu hết các chương trình diệt vi-rút. Ứng dụng này không yêu cầu nhiều quyền của Android và "chỉ thu thập dữ liệu NFC và truyền qua kênh truyền thông, khiến dữ liệu khó bị phát hiện hơn". Tuy nhiên, ứng dụng này không vào được Play Store. Khi được Bleeping Computer hỏi, Google tuyên bố rằng không có ứng dụng "có chứa phần mềm độc hại này được tìm thấy trên Google Play."
Truy cập vào chip NFC
Trong quá trình cài đặt, ứng dụng sẽ yêu cầu quyền truy cập vào chip NFC của điện thoại thông minh Android. Qua điện thoại, kẻ lừa đảo yêu cầu nạn nhân đặt thẻ ngân hàng không tiếp xúc vào điện thoại thông minh của họ. Ông khẳng định rằng hành động này chỉ nhằm mục đích xác minh tính hợp lệ của thẻ. Trên thực tế, nó cho phép virus được cấy vào điện thoại thông minh đọc dữ liệu NFC từ thẻ. Dữ liệu này được gửi đến tin tặc đứng sau cuộc tấn công.Sau đó, kẻ tấn công sử dụng một ứng dụng đặc biệt có tên Tapper để sao chép thẻ ngân hàng. Ứng dụng này biến điện thoại Android thành thiết bị đầu cuối NFC giả, có thể hoạt động như thể đó là thẻ vật lý của nạn nhân. Từ đó, tin tặc có thể sử dụng điện thoại của mình để mua hàng hoặc thanh toán dịch vụ bằng cách ghi nợ tài khoản ngân hàng của mục tiêu. Thanh toán rõ ràng là không tiếp xúc. Để tránh cảnh báo gian lận, tội phạm mạng thường chỉ thực hiện các giao dịch nhỏ.
Theo cuộc điều tra của Cleafy, những tin tặc đứng sau vụ tấn công có nguồn gốc từ Trung Quốc. Những kẻ lừa đảo bán các công cụ của chúng, bao gồm cả virus SuperCard X, thông qua hình thức đăng ký. Các cuộc tấn công mạng sử dụng NFC và sao chép thẻ ngân hàng từ xa đã được báo cáo ở Ý. Rất có khả năng các hoạt động kiểu này đang diễn ra ở các quốc gia khác tại châu Âu, thậm chí trên toàn thế giới.
Nguồn: Cleafy