Servis olarak yeni bir Android kötü amaçlı yazılım (Maas) platformu Süper Kart x Siber suçluların hileli nakiller yapmasını sağlayarak yakın alan iletişim (NFC) röle saldırılarını kolaylaştırabilir.
Bir analizde sahtekarlık önleme firması Cleafy, aktif kampanyanın ödeme kartı verilerinden ödün vermek amacıyla İtalya’daki bankacılık kurumlarının ve kart ihraççılarının müşterilerini hedeflediğini söyledi. Hizmetin telgraf kanallarında tanıtıldığını gösteren kanıtlar var.
Supercard X “sosyal mühendisliği (smaching ve telefon görüşmeleri yoluyla), kötü amaçlı uygulama kurulumu ve NFC veri müdahalesini birleştiren çok aşamalı bir yaklaşım kullanıyor.
Çince konuşan bir tehdit aktörünün çalışması olan yeni Android kötü amaçlı yazılımlar, üç farklı sahte uygulamadan yayıldığı ve kurbanları aldatıcı SMS veya Whatsapp mesajları gibi sosyal mühendislik teknikleri aracılığıyla kurmaya çalıştığı gözlendi –
- Verifica Carta (io.dxpay.remotenfc.supercard11)
- Supercard x (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
Mesajlar, alıcıları işlemi itiraz etmek için belirli bir numarayı çağırmaya çağırarak banka güvenlik uyarılarını taklit eder.
Enfeksiyon zinciri daha sonra, tehdit aktörlerinin kurbanları doğrudan telefon görüşmeleri yoluyla güvenlik yazılımı kisvesi altına yüklemek için kurbanları manipüle ettiği telefon odaklı saldırı teslimi (TOAD) olarak adlandırılan şeye taşınır. Tehdit aktörlerinin, kurbanların pimlerini toplamak ve mevcut kart sınırlarını kaldırmalarını söyleyen ikna edici taktikler kullandıkları ve böylece fonları kolayca boşaltmalarına izin verdikleri bulunmuştur.
Operasyonun özünde, tehdit aktörlerinin enfekte cihazlardan NFC iletişimlerini ele geçirip aktararak ve aktararak, tehdit aktörlerinin satış noktası (POS) ödemelerini ve otomatik vezneli ve ve otomatik vezneli vezinli para çekme işlemlerini hileli bir şekilde yetkilendirmelerini sağlayan daha önce belgelenmemiş bir NFC rölesi tekniği vardır.
Bunu yapmak için, saldırganlar kurbanları mobil cihazlarına yakın fiziksel yakınlıkta borç veya kredi kartlarını getirmeye teşvik eder, bu da SuperCard X kötü amaçlı yazılımların iletilen kart ayrıntılarını gizlice yakalamasına ve harici bir sunucuya aktarmasına izin verir. Hasat edilen kart bilgileri daha sonra yetkisiz işlemler yapmak için bir tehdit aktör kontrollü cihazda kullanılır.
NFC kart verilerini yakalamak için kurbanlara dağıtılan uygulamaya okuyucu denir. Tapper olarak bilinen benzer bir uygulama, kart bilgilerini almak için tehdit oyuncusu cihazına yüklenir. Okuyucu ve Tapper arasındaki iletişim, komut ve kontrol (C2) için HTTP kullanılarak gerçekleştirilir ve siber suçluların giriş yapmasını gerektirir.
Sonuç olarak, tehdit aktörlerinin kötü amaçlı uygulamaları dağıtmadan önce SuperCard X platformunda bir hesap oluşturmaları beklenmektedir, bundan sonra kurbanlara telefon görüşmesi sırasında kendilerine verilen giriş kimlik bilgilerini girmeleri istenir.
Bu adım, kurbanın enfekte olan cihazı ile tehdit oyuncusu Tapper örneği arasındaki bağlantıyı oluşturduğu için genel saldırıda önemli bir çark görevi görür ve bu da kart verilerinin sonraki nakit çıkışları için aktarılmasını sağlar. Tapper uygulaması, çalınan verileri kullanarak kurbanın kartını taklit etmek için tasarlanmıştır, böylece POS terminallerini ve ATM’leri meşru bir kart olarak tanımaya kandırır.
Cleafy tarafından tanımlanan “okuyucu” kötü amaçlı yazılım artefaktları, giriş ekranında ince farklılıklar taşıyor ve bu da, bağlı aktörler tarafından kampanyaları ihtiyaçlarına göre uyarlamak için ürettikleri özel yapılar olduğunu gösteriyor. Buna ek olarak, Supercard X, C2 altyapısı ile iletişimi sağlamak için karşılıklı TL’leri (MTLS) kullanır.
Bu tehdit aktörleri, şüphesiz kullanıcıları telefon görüşmeleri üzerinden kritik ayarları değiştirmeye kandırabilirler, kullanıcıların bilinmeyen kaynaklardan uygulamaları yüklemesini ve erişilebilirlik hizmetlerine izin vermesini etkili bir şekilde engelleyen yeni bir Android özelliği üzerinde çalıştığı söylenen Google tarafından fark edilmedi.
Şu anda SuperCard X’in Google Play Store üzerinden dağıtıldığına dair bir kanıt olmasa da, kullanıcılara indirmeden önce uygulama açıklamalarını, izinleri ve incelemeleri incelemeleri tavsiye edilir. Ayrıca, Google Play Protect’in ortaya çıkan tehditlere karşı cihazları korumak için etkin tutulması önerilir.
Araştırmacılar, “Bu yeni kampanya, ödeme sağlayıcılarını ve kredi kartı ihraççılarını doğrudan etkilemek için bankacılık kurumlarının geleneksel hedeflerinin ötesine uzanan önemli bir finansal risk sunuyor.” Dedi.
“Kötü amaçlı yazılım ve NFC Röle’nin yenilikçi kombinasyonu, saldırganlara banka ve kredi kartları ile hileli nakit çıkışları gerçekleştirmeleri için güç veriyor. Bu yöntem, özellikle temassız ATM para çekme işlemlerini hedeflerken yüksek etkinlik gösteriyor.”