Eregalerij

In de wereld van cybercriminaliteit is er een nieuwe bedreiging opgedoken: een malware-as-a-service (MaaS) platform genaamd 'SuperCard X'. Dit platform richt zich op Android-apparaten via NFC-relay aanvallen, die het mogelijk maken om betalingen bij verkooppunten en geldopnames bij geldautomaten uit te voeren met gestolen betaalgegevens. SuperCard X heeft connecties met Chinese-sprekende dreigingsactoren en vertoont codeovereenkomsten met het open-sourceproject NFCGate en de kwaadaardige afgeleide hiervan, NGate, die sinds vorig jaar aanvallen in Europa heeft gefaciliteerd. De malware wordt gepromoot via Telegram-kanalen, die ook directe ondersteuning bieden aan "klanten". De mobiele beveiligingsfirma Cleafy heeft SuperCard X ontdekt en rapporteert dat aanvallen met deze Android-malware zijn waargenomen in Italië. Deze aanvallen bestonden uit verschillende monsters met subtiele verschillen, wat aangeeft dat partners de optie krijgen voor op maat gemaakte builds die zijn afgestemd op regionale of andere specifieke behoeften. Hoe de aanvallen van SuperCard X zich ontvouwen De aanval begint vaak met het ontvangen van een nepmelding via SMS of WhatsApp die zich voordoet als communicatie van de bank van het slachtoffer. Hierin wordt beweerd dat er een probleem is veroorzaakt door een verdachte transactie en dat het slachtoffer een nummer moet bellen om dit op te lossen. Een oplichter, die zich voordoet als bankmedewerker, beantwoordt de oproep en gebruikt sociale manipulatie om het slachtoffer te misleiden tot het "bevestigen" van hun kaartnummer en pincode. Vervolgens proberen ze de gebruiker te overtuigen om de bestedingslimieten via hun bankapp te verwijderen. Uiteindelijk weten de dreigingsactoren het slachtoffer te overtuigen om een kwaadaardige app (Reader) te installeren, vermomd als een beveiligings- of verificatietool, die de SuperCard X-malware bevat. Na installatie vraagt de Reader-app om minimale machtigingen, voornamelijk toegang tot de NFC-module, wat voldoende is om gegevensdiefstal mogelijk te maken. De oplichter instrueert het slachtoffer om hun betaalkaart tegen hun telefoon te houden om de kaarten te verifiëren, waardoor de malware de chipgegevens van de kaart kan uitlezen en naar de aanvallers kan verzenden. De aanvallers ontvangen deze gegevens op hun Android-apparaat, dat een andere app genaamd Tapper draait, die de kaart van het slachtoffer emuleert met behulp van de gestolen gegevens. Deze 'geëmmuleerde' kaarten stellen aanvallers in staat om contactloze betalingen uit te voeren in winkels en geld op te nemen bij geldautomaten, hoewel er limieten aan de bedragen verbonden zijn. Doordat deze kleine transacties direct zijn en als legitiem worden beschouwd door de banken, zijn ze moeilijker te signaleren en te annuleren. Evasieve malware Cleafy merkt op dat SuperCard X momenteel niet wordt gedetecteerd door antivirusprogramma's op VirusTotal. De afwezigheid van risicovolle machtigingsverzoeken en agressieve aanval functies, zoals het overlayen van het scherm, zorgt ervoor dat het op de radar van heuristische scans blijft. De emulatie van de kaart is ATR-gebaseerd (Answer to Reset), wat de kaart een legitieme uitstraling geeft voor betalingsautomaten en getuigt van technische volwassenheid en begrip van smartcardprotocollen. Een ander opmerkelijk technisch aspect is het gebruik van mutual TLS (mTLS) voor certificaat-gebaseerde client/server-authenticatie, wat de communicatie tussen de command-and-control-servers (C2) beveiligt tegen onderschepping en analyse door onderzoekers of wetshandhaving. BleepingComputer heeft Google benaderd voor commentaar op de activiteiten van SuperCard X, en een woordvoerder heeft de onderstaande verklaring gestuurd: “Op basis van onze huidige detectie zijn er geen apps met deze malware te vinden in de Google Play Store. Android-gebruikers worden automatisch beschermd door Google Play Protect, dat standaard is ingeschakeld op Android-apparaten met Google Play Services. Google Play Protect kan gebruikers waarschuwen of apps blokkeren die bekend staan om kwaadaardig gedrag, zelfs als deze apps van bronnen buiten de Play Store komen.” - Een woordvoerder van Google. De opkomst van SuperCard X onderstreept de noodzaak voor gebruikers om alert te zijn op de risico's van phishing en kwaadaardige apps. Het is cruciaal om bewust te zijn van de manieren waarop cybercriminelen te werk gaan en om altijd voorzichtig te zijn bij het delen van persoonlijke informatie.