SuperCard X: китайский MaaS для мошеннической операции NFC Relay

• Новая вредоносная программа для Android, предлагаемая по модели «вредоносное ПО как услуга» (MaaS), позволяющая осуществлять атаки с использованием NFC для мошеннических операций с наличными.
• Демонстрирует постоянное развитие мобильных вредоносных программ в финансовом секторе, при этом NFC relay представляет собой значительную новую возможность.
• Используется многоступенчатый подход, сочетающий социальную инженерию (через smishing и телефонные звонки), установку вредоносных приложений и перехват данных NFC для высокоэффективного мошенничества.
• SuperCard X в настоящее время имеет низкий уровень обнаружения среди антивирусных решений благодаря своей ограниченной функциональности и минималистичной модели разрешений.‍
• Мошенническая схема нацелена на клиентов банковских учреждений и эмитентов карт с целью компрометации данных платежных карт.

Эта сложная мошенническая кампания разворачивается в виде серии хорошо спланированных шагов, инициированных целенаправленной стратегией социальной инженерии. Атака обычно начинается с обманных сообщений, часто доставляемых через SMS или WhatsApp, призванных вызвать у получателя чувство срочности или тревоги. Обычно такие сообщения выдают себя за банковские оповещения о безопасности, уведомляя пользователей о подозрительном исходящем платеже. В сообщении потенциальным жертвам предлагается позвонить по определенному номеру, чтобы оспорить транзакцию. Этот первоначальный контакт создает сценарий телефонно-ориентированной атаки (TOAD), в котором ТА используют прямые телефонные разговоры для манипулирования своими целями.

Во время последующего телефонного разговора TA используют тактику социальной инженерии, чтобы убедить жертву выполнить действия, которые в конечном итоге ставят под угрозу данные ее платежной карты. Эта многоступенчатая манипуляция включает в себя:

• Выуживание PIN-кода: Используя потенциальное беспокойство жертвы по поводу мошеннической операции, ТА убеждают ее «сбросить» или «проверить» свою карту. Поскольку жертвы часто не могут сразу вспомнить свой PIN-код, атакующие направляют их через приложение мобильного банка, чтобы получить эту конфиденциальную информацию.
• Снятие лимита по карте: Завоевав доверие жертвы и потенциально получив доступ к ее банковскому приложению (с помощью устных указаний), ТА инструктируют жертву перейти к настройкам карты в банковском приложении и удалить все существующие лимиты расходов по дебетовой или кредитной карте. Этот важный шаг максимально увеличивает вероятность мошеннического обналичивания средств.‍
• Установка вредоносного приложения: После этого ТА убеждают жертву установить безобидное на первый взгляд приложение. Ссылка на это вредоносное приложение, часто замаскированное под средство безопасности или утилиту проверки, отправляется по SMS или WhatsApp. Без ведома жертвы в этом приложении скрывается вредоносная программа SuperCard X, включающая в себя функцию NFC-Relay.
• Захват данных NFC: На заключительном этапе манипуляций TAs инструктируют жертву поднести физическую дебетовую или кредитную карту к зараженному мобильному устройству. Затем вредоносная программа SuperCard X бесшумно перехватывает данные карты, передаваемые через NFC. Эти данные перехватываются в режиме реального времени и передаются через командно-контрольную (C2) инфраструктуру на второе Android-устройство, контролируемое атакующими.‍
• Обналичивание средств: После того как данные карты жертвы успешно переданы, ТА используют свое второе устройство для совершения несанкционированных транзакций. Как правило, это бесконтактные платежи через POS-терминалы или, что более тревожно, бесконтактное снятие наличных в банкоматах.

Domains

• api.kingcardnfc.com
• api.kingnfc.com
• api.payforce-x.com

SHA256

• 2c6b914f9e27482152f704d3baea6c8030da859c9f5807be4e615680f93563a0
• 3f39044c146a9068d1a125e1fe7ffc3f2e029593b75610ef24611aadc0dec2de
• 3fb91010b9b7bfc84cd0c1421df0c8c3017b5ecf26f2e7dadfe611f2a834330c