| 0 |
|
BleepingComputer повідомляє, що з'явилася нова платформа шкідливого ПЗ як послуги (MaaS) під назвою «SuperCard X», націлена на пристрої Android. Вона працює за допомогою ретрансляційних атак NFC, що дають змогу здійснювати транзакції у точках продажу та банкоматах із використанням скомпрометованих даних платіжних карток.
SuperCard X пов'язана з китайськими загрозливими суб'єктами та має схожість із відкритим проєктом NFCGate і його гілкою NGate, що з минулого року сприяє атакам у Європі.
Шкідлива платформа просувається через канали Telegram, які також пропонують пряму підтримку «клієнтам».
SuperCard X було виявлено компанією Cleafy, що спеціалізується на мобільній безпеці, яка повідомила про атаки з використанням цього шкідливого ПЗ для Android в Італії. Ці атаки містили кілька зразків з незначними відмінностями, що вказує на те, що філіям пропонується можливість створення індивідуальних збірок з урахуванням регіональних або інших специфічних потреб.
Атака починається з того, що жертва отримує підроблене SMS-повідомлення або повідомлення у WhatsApp, яке видає себе за банк, і стверджує, що їй необхідно зателефонувати за номером для розв'язання проблем, викликаних підозрілою транзакцією.
На дзвінок відповідає шахрай, який видає себе за службу підтримки банку, який за допомогою соціальної інженерії змушує жертву «підтвердити» номер картки та PIN-код. Потім вони намагаються переконати користувача зняти обмеження на витрати через банківський додаток.
Нарешті, особи, які погрожують, переконують користувачів встановити шкідливий застосунок (Reader), замаскований під засіб безпеки або перевірки, який містить шкідливу програму SuperCard X.
Після встановлення додаток Reader запитує лише мінімальні дозволи, здебільшого доступ до модуля NFC, чого цілком достатньо для здійснення крадіжки даних.
Шахрай просить жертву доторкнутися платіжною карткою до телефону для верифікації картки, що дає змогу шкідливій програмі зчитати дані з чіпа картки та надіслати їх зловмисникам.
Зловмисники отримують ці дані на свій Android-пристрій, на якому запущено інший застосунок під назвою Tapper, який емулює карту жертви, використовуючи вкрадені дані.
Ці «емульовані» картки дають змогу зловмисникам здійснювати безконтактні платежі в магазинах і знімати гроші в банкоматах, хоча водночас діють обмеження за сумою. Оскільки ці невеликі транзакції здійснюються миттєво і здаються банкам легітимними, їх складніше помітити та скасувати.
Cleafy зазначає, що SuperCard X наразі не помічено жодною антивірусною системою на VirusTotal, а відсутність ризикованих запитів на дозволи та агресивних атакувальних функцій, як-от накладення екрана, дає змогу йому залишатися поза увагою евристичних сканерів.
Емуляція карти заснована на ATR (Answer to Reset), що дає їй змогу виглядати легітимною для платіжних терміналів і свідчить про технічну зрілість і розуміння протоколів смарткарт.
Ще один примітний технічний аспект - використання взаємного TLS (mTLS) для автентифікації клієнта/сервера на основі сертифікатів, що захищає комунікації C2 від перехоплення та аналізу дослідниками або правоохоронними органами.
BleepingComputer зв'язалася з Google, щоб прокоментувати активність SuperCard X, і представник компанії надіслав таку заяву: "За даними нашого поточного аналізу, в Google Play не виявлено застосунків, які містять це шкідливе ПЗ. Користувачі Android автоматично захищені системою Google Play Protect, яка за замовчуванням увімкнена на пристроях Android із сервісами Google Play. Google Play Protect може попереджати користувачів або блокувати додатки, відомі своєю шкідливою поведінкою, навіть якщо ці додатки надходять із джерел за межами Play".
Kingston повертається у «вищу лігу» серверних NVMe SSD
| 0 |
|
