SuperCard X este un nou tip de malware pe Android care fură datele cardurilor bancare și le folosește pentru plăți contactless frauduloase prin atacuri de tip relay, greu de detectat de sistemele de securitate. Atacurile vizează terminale POS și bancomate și au fost observate recent în Italia, dar riscul este global, întrucât aplicația malițioasă este vândută ca serviciu pe platforme Telegram de către grupări vorbitoare de chineză.
Malware-ul face parte dintr-o schemă complexă de înșelătorie în care utilizatorul primește un mesaj fals (prin SMS sau WhatsApp) din partea unei „bănci” care solicită apelarea unui număr de telefon. La capătul firului răspunde un escroc care, sub pretextul rezolvării unei tranzacții suspecte, determină victima să își divulge numărul cardului, PIN-ul și chiar să dezactiveze limitele de plată din aplicația bancară. Ulterior, victima este îndemnată să instaleze o aplicație aparent legitimă, numită Reader, pentru „verificarea securității cardului”.
După instalare, aplicația Reader solicită acces minim, doar la modulul NFC, dar suficient pentru a citi datele de pe cipul cardului atunci când utilizatorul este rugat să apropie cardul de telefon. Datele extrase sunt transmise atacatorului, care le introduce într-o altă aplicație, Tapper, pe un alt dispozitiv Android. Această aplicație emulează cardul original și permite plăți contactless sau retrageri de la bancomate, în limitele permise de tranzacțiile rapide, ceea ce le face dificil de detectat sau anulat de bănci.
Cleafy, firma de securitate mobilă care a descoperit SuperCard X, avertizează că acest malware nu este detectat de niciun antivirus la ora actuală. Lipsa permisiunilor suspecte și a comportamentului agresiv ajută aplicația să rămână nedepistată. În plus, comunicarea dintre aplicație și serverele de comandă și control este criptată, ceea ce îngreunează interceptarea sau investigarea de către autorități.
Mai mult, SuperCard X se bazează pe un protocol ATR (Answer to Reset) folosit pentru a imita autenticitatea unui card real în fața terminalelor de plată, demonstrând un nivel ridicat de sofisticare tehnică. Similaritățile de cod cu proiectul open-source NFCGate și derivatul său NGate, utilizat anterior în Europa, sugerează că amenințarea este o evoluție a unor atacuri deja existente, dar acum scalată prin modelul „malware-as-a-service”.
Google afirmă că nu există aplicații infectate cu SuperCard X în Play Store și că utilizatorii sunt protejați prin Google Play Protect, însă malware-ul este distribuit în afara magazinului oficial, ceea ce îl face o amenințare reală pentru cei care instalează aplicații din surse terțe.
