Едно допиране и сбогом на парите: китайската SuperCard X отнема данните на картата чрез NFC модула

Искате ли да загубите всичките си спестявания? Просто приложете дебитната си карта към своя смартфон.

Cleafy, компания за мобилна сигурност, разкри подробности за нова престъпна схема, която заплашва притежателите на банкови карти. Нападателите са създали платформата SuperCard X, която работи по модела „зловреден софтуер като услуга“ и позволява да се откраднат данни чрез NFC модула на смартфона за последващи трансакции в търговските обекти и банкоматите.

Проучването разкри, че зад разработката стоят свързани с Китай субекти. По време на анализа на софтуерния код експертите откриват явни прилики с проекта с отворен код NFCGate и неговия злонамерен клонинг NGate. Последният активно се използва за атаки в европейските страни повече от година, което показва приемственост на престъпните технологии.

Разпространението на SuperCard X е организирано чрез каналите на Telegram, където на клиентите се предлага не само самият продукт, но и директна техническа поддръжка. Мащабът на заплахата се потвърждава от многобройните случаи на този зловреден софтуер в Италия. След като проучиха десетки образци с незначителни разлики, експертите на Cleafy стигнаха до заключението, че авторите имат готовност да адаптират продукта си към конкретни региони или към специфични задачи на клиентите.

Атаката започва с фалшиво съобщение, което жертвата получава уж от своята банка чрез SMS или WhatsApp. В него се говори за подозрителна трансакция и за необходимостта спешно да се обади на посочения номер, за да реши проблема. На този етап измамниците целят да създадат чувство за спешност, така че жертвата да действа по-малко предпазливо.

Когато притежателят на картата се обади на посочения номер, на обаждането отговаря измамник, който се представя за представител на отдела за обслужване на клиенти. Използвайки техники за социално инженерство, той измъква номера на картата и ПИН кода под претекст за „проверка на самоличността“. Следващата стъпка е опит за убеждаване на жертвата да премахне лимитите за транзакции чрез банковото приложение, което значително разширява възможностите за кражба на средства.

Схемата се завършва с инсталирането на специално приложение Reader, маскирано като инструмент за сигурност или проверка. Именно в него се съдържа зловредният софтуер SuperCard X. Разработчиците са били особено изобретателни: програмата иска минимални разрешения – само достъп до NFC модула – което помага да се намали бдителността на потребителя. Това обаче е напълно достатъчно за извършване на кражба.

По указание на фалшивия банкер притежателят на картата поставя картата върху или до телефона за „проверка“. В този момент се стартира механизмът за четене на информация от чипа, която веднага се изпраща на нападателите. На своето устройство с Android те използват второ приложение – Tapper, което създава виртуално копие на банковата карта въз основа на получените данни.

Тези „цифрови клонинги“ им дават възможност да извършват безконтактни плащания в магазините и да теглят пари в брой от банкоматите. Въпреки съществуващите ограничения за размера на сумите, откриването и отмяната на тези трансакции е изключително трудно – те са мигновени и изглеждат напълно легитимни за банковите системи.

Зловредният софтуер се основава на протокола ATR (Answer to Reset) – стандартен механизъм, който се задейства всеки път, когато картата се свързва с терминал. Когато терминалът изпрати сигнал за проверка на картата, тя трябва да отговори със специален код, който потвърждава нейната автентичност. SuperCard X се е научила да имитира точно тези отговори, т.е. да генерира същите последователности от байтове, които идват от истинска сметка.

Усъвършенстваните механизми за маскиране на зловредния софтуер са особено опасни. По време на изследването нито една антивирусна програма на VirusTotal не можа да разпознае заплахата. Обикновено подозрителните програми се опитват да получат широк достъп до функциите на смартфона или създават фалшиви прозорци върху интерфейса на банковото приложение, за да откраднат паролите. SuperCard X не иска такива права, така че антивирусните програми не я забелязват дори при използване на евристични методи – когато програмата се проверява не спрямо база данни с известен зловреден софтуер, а по характерното ѝ поведение.

Нападателите са внедрили и система за удостоверяване, базирана на TLS – съвременния стандарт за защита на интернет връзките, използван от банките и платежните системи. Когато програмата обменя данни със сървърите на измамниците, тя криптира целия трафик със специални цифрови сертификати. Това прави невъзможно за изследователите да прихванат и декриптират командите, които SuperCard X получава, или данните, които изпраща на създателите си.

В отговор на журналистическо запитване представител на Google заяви, че в официалния магазин Google Play няма приложения с подобен зловреден код. В същото време той подчерта, че собствениците на Android устройства са защитени по подразбиране от системата Google Play Protect, която предупреждава за опасност или блокира подозрителните програми, дори ако те са инсталирани от източници на трети страни.

В заключение, въпреки че този тип атака разчита на сравнително прости техники за социално инженерство, тя се оказва изключително ефективна – както по отношение на процента на успеваемост, така и по отношение на ефективността на теглене на парите. Използването на множество вектори на атака в рамките на една и съща кампания за измама добавя още едно ниво на сложност. този многоканален подход поставя допълнителни предизвикателства пред усилията за мониторинг и подчертава нарастващата нужда от възможности за откриване в реално време.