Компания Cleafy Threat Intelligence, специализирующаяся на информационной безопасности, выявила новую вредоносную кампанию, нацеленную на кражу денег у пользователей устройств на базе Android. Данная кампания получила название SuperCard X и использует сложные технологии, позволяющие злоумышленникам осуществлять платежи и снимать наличные в банкоматах, перехватывая и ретранслируя данные, передаваемые через NFC, с компрометированных устройств.

В рамках кампании SuperCard X злоумышленники применяют методы социальной инженерии для распространения вредоносного программного обеспечения. Они манипулируют жертвами, заставляя их устанавливать вредоносные приложения, а затем «подключают» свои собственные платежные карты к инфицированным устройствам. Злоумышленники предлагают свои услуги по модели «вредоносное ПО как услуга» (MaaS), активно рекламируя их через Telegram-каналы.

Как сообщается, код вредоносного ПО в рамках кампании SuperCard X имеет значительное сходство с кодом вируса NGate, который был обнаружен в прошлом году компанией ESET. Предполагается, что кампания организована китайскими хакерами и создает серьезные финансовые риски, затрагивая, помимо обычных целей, также эмитентов банковских карт и платформы, обслуживающие транзакции.

Инновационное сочетание вредоносного ПО с методом ретрансляции данных по NFC дает возможность злоумышленникам осуществлять операции по обналичиванию средств с помощью дебетовых и кредитных карт. Эта техника оказывается особенно эффективной при бесконтактном снятии наличных в банкоматах.

Специалисты зафиксировали несколько таких атак в Европе и обнаружили различные образцы вредоносного ПО, что указывает на способность злоумышленников адаптировать вирус в зависимости от региональных особенностей и предполагаемой зоны действия.

Атака начинается с того, что жертва получает SMS-сообщение или сообщение в WhatsApp, якобы от своего банковского учреждения, с просьбой перезвонить по указанному номеру для решения проблемы с подозрительной транзакцией. На звонок отвечает злоумышленник, представляющийся сотрудником службы поддержки банка. Используя методы социальной инженерии, он заставляет жертву «подтвердить» номер своей карты и PIN-код. Затем жертву убеждают снять ограничения на расходы через банковское приложение, после чего злоумышленник уговаривает установить вредоносное приложение, замаскированное под инструмент безопасности платежей, которое содержит вредонос SuperCard X.

После установки приложение запрашивает минимальные разрешения, преимущественно доступ к модулю NFC, что достатчно для кражи данных. Мошенник просит жертву приложить карту к smartphone для верификации, что позволяет вредоносному ПО считать данные с чипа карты, которые затем пересылаются злоумышленникам. Получив эти данные, злоумышленники запускают на своем Android-устройстве приложение для эмуляции карты жертвы и крадут с неё средства. Эмуляция карты позволяет проводить бесконтактные платежи в магазинах и снимать наличные в банкоматах. Поскольку такие операции часто осуществляются на небольшие суммы, банки не считают их подозрительными и не блокируют.