SuperCard X là sự bổ sung mới nhất cho nền tảng phần mềm độc hại dưới dạng dịch vụ (MaaS), nơi tin tặc cung cấp các công cụ sẵn sàng sử dụng với một khoản phí. Mối đe dọa mới này nhắm vào điện thoại thông minh Android sử dụng NFC để thanh toán hoặc rút tiền bằng dữ liệu ngân hàng bị đánh cắp.
Cách thức hoạt động này đặc biệt rõ ràng. Mọi chuyện bắt đầu bằng việc gửi tin nhắn SMS hoặc WhatsApp, được cho là từ ngân hàng của người nhận. Khi gọi đến số điện thoại được cung cấp, nạn nhân sẽ gặp được một cố vấn giả mạo, người này sẽ sử dụng các kỹ thuật thao túng tâm lý để buộc nạn nhân tiết lộ số thẻ và mã PIN. Sau đó, những kẻ lừa đảo khuyến khích mục tiêu xóa giới hạn chi tiêu khỏi ứng dụng ngân hàng của chúng.
Bước cuối cùng: thuyết phục nạn nhân cài đặt một ứng dụng có bẫy, có tên là "Reader", được cho là để kiểm tra tính bảo mật của tài khoản của họ. Điều này chỉ cần một số quyền – chủ yếu là quyền truy cập vào mô-đun NFC – và do đó dễ dàng lọt qua tầm ngắm.
Sau khi cài đặt, ứng dụng độc hại sẽ nhắc nạn nhân quẹt thẻ ngân hàng vào điện thoại để “xác minh”. Trên thực tế, ứng dụng này sẽ trích xuất dữ liệu từ chip và truyền cho tội phạm. Sau đó, kẻ tấn công sẽ lấy lại chúng trên một thiết bị Android khác được trang bị ứng dụng thứ hai, "Tapper", mô phỏng thẻ ngân hàng.
Nhờ quy trình này, kẻ tấn công có thể thực hiện thanh toán không tiếp xúc tại các cửa hàng hoặc rút tiền từ máy ATM trong phạm vi giới hạn được áp dụng. Vì các giao dịch này diễn ra nhanh chóng và có vẻ hợp pháp nên các ngân hàng khó có thể phát hiện ra.
Cleafy chỉ ra rằng SuperCard X hiện vẫn vô hình trước các chương trình diệt vi-rút, bao gồm cả VirusTotal. Tính thận trọng của nó được củng cố bởi việc không có các ủy quyền đáng ngờ và việc sử dụng giao tiếp bảo mật mTLS (TLS tương hỗ), làm phức tạp việc chặn các trao đổi giữa các thiết bị bị nhiễm và máy chủ điều khiển.
Khi được hỏi về trường hợp này, Google đảm bảo rằng "không phát hiện thấy ứng dụng nào chứa phần mềm độc hại này trên Google Play" và nhắc lại rằng hệ thống Play Protect của họ bảo vệ người dùng Android theo mặc định, ngay cả khi cài đặt các ứng dụng bên ngoài.
Một hoạt động được thiết lập tốt được bán trực tuyến
Theo công ty an ninh mạng Cleafy, đơn vị đã xác định hoạt động của phần mềm độc hại này tại Ý, SuperCard X được quảng cáo trên các kênh Telegram, có dịch vụ chăm sóc khách hàng dành cho người mua. Phần mềm này dường như được lấy cảm hứng trực tiếp từ các công cụ nguồn mở như NFCGate và biến thể độc hại NGate, vốn đã được sử dụng ở châu Âu vào năm ngoái.Cách thức hoạt động này đặc biệt rõ ràng. Mọi chuyện bắt đầu bằng việc gửi tin nhắn SMS hoặc WhatsApp, được cho là từ ngân hàng của người nhận. Khi gọi đến số điện thoại được cung cấp, nạn nhân sẽ gặp được một cố vấn giả mạo, người này sẽ sử dụng các kỹ thuật thao túng tâm lý để buộc nạn nhân tiết lộ số thẻ và mã PIN. Sau đó, những kẻ lừa đảo khuyến khích mục tiêu xóa giới hạn chi tiêu khỏi ứng dụng ngân hàng của chúng.
Bước cuối cùng: thuyết phục nạn nhân cài đặt một ứng dụng có bẫy, có tên là "Reader", được cho là để kiểm tra tính bảo mật của tài khoản của họ. Điều này chỉ cần một số quyền – chủ yếu là quyền truy cập vào mô-đun NFC – và do đó dễ dàng lọt qua tầm ngắm.
Sau khi cài đặt, ứng dụng độc hại sẽ nhắc nạn nhân quẹt thẻ ngân hàng vào điện thoại để “xác minh”. Trên thực tế, ứng dụng này sẽ trích xuất dữ liệu từ chip và truyền cho tội phạm. Sau đó, kẻ tấn công sẽ lấy lại chúng trên một thiết bị Android khác được trang bị ứng dụng thứ hai, "Tapper", mô phỏng thẻ ngân hàng.
Nhờ quy trình này, kẻ tấn công có thể thực hiện thanh toán không tiếp xúc tại các cửa hàng hoặc rút tiền từ máy ATM trong phạm vi giới hạn được áp dụng. Vì các giao dịch này diễn ra nhanh chóng và có vẻ hợp pháp nên các ngân hàng khó có thể phát hiện ra.
Cleafy chỉ ra rằng SuperCard X hiện vẫn vô hình trước các chương trình diệt vi-rút, bao gồm cả VirusTotal. Tính thận trọng của nó được củng cố bởi việc không có các ủy quyền đáng ngờ và việc sử dụng giao tiếp bảo mật mTLS (TLS tương hỗ), làm phức tạp việc chặn các trao đổi giữa các thiết bị bị nhiễm và máy chủ điều khiển.
Khi được hỏi về trường hợp này, Google đảm bảo rằng "không phát hiện thấy ứng dụng nào chứa phần mềm độc hại này trên Google Play" và nhắc lại rằng hệ thống Play Protect của họ bảo vệ người dùng Android theo mặc định, ngay cả khi cài đặt các ứng dụng bên ngoài.