Descoberto novo vírus para Android que rouba dados de cartões bancários via NFC

A empresa de segurança Cleafy Threat Intelligence descobriu uma nova campanha de malware com o objetivo de roubar dinheiro de usuários do Android. Ele se chama SuperCard X e envolve o uso de tecnologia sofisticada que permite que invasores façam pagamentos e retirem dinheiro de caixas eletrônicos interceptando e retransmitindo dados transmitidos via NFC de dispositivos hackeados.

Fonte da imagem: Bleping Computer

A campanha SuperCard X envolve invasores usando técnicas de engenharia social para distribuir malware. Ao enganar as vítimas para que instalem malware, eles então “conectam” seus próprios cartões de pagamento aos dispositivos infectados. Os invasores oferecem seus serviços sob o esquema “malware como serviço” (MaaS) e os promovem por meio de canais do Telegram.

O relatório diz que o código do malware distribuído como parte da campanha SuperCard X tem semelhanças significativas com o código do vírus NGate descoberto no ano passado pela ESET. Observa-se que a nova campanha, supostamente organizada por hackers chineses, cria riscos financeiros significativos que vão além dos alvos habituais de tais ataques, afetando diretamente os emissores de cartões bancários e as plataformas que atendem transações.

Uma combinação inovadora de malware e um método para retransmitir dados via NFC permite que invasores realizem transações de saque usando cartões de débito e crédito. A tecnologia utilizada demonstra alta eficiência, especialmente para saques de dinheiro sem contato em caixas eletrônicos. Especialistas conseguiram identificar vários ataques desse tipo na Europa. Várias amostras de malware também foram descobertas, indicando a capacidade dos invasores de adaptar o vírus às características regionais e outras da área pretendida de seu uso.

Fonte da imagem: Cleafy

O ataque começa com a vítima recebendo uma mensagem SMS ou WhatsApp, supostamente de um banco do qual ela é cliente. A mensagem exige que você ligue para o número fornecido para resolver o problema causado pela transação suspeita. A chamada é atendida por um invasor que se passa por um representante do serviço de suporte do banco e, usando técnicas de engenharia social, força a vítima a “confirmar” o número do cartão e o código PIN.

A vítima é então convencida a remover as restrições de gastos por meio do aplicativo bancário. O invasor então convence você a instalar um aplicativo malicioso disfarçado de ferramenta de segurança de pagamento que contém o malware SuperCard X. Uma vez instalado, o aplicativo solicita permissões mínimas — principalmente acesso ao módulo NFC, o que é suficiente para roubar dados.

O fraudador pede que a vítima coloque o cartão no smartphone para verificá-lo, o que permite que o malware leia os dados do chip do cartão, que depois são enviados aos invasores. Após receber esses dados, os invasores iniciam um aplicativo em seu dispositivo Android para emular o cartão da vítima e roubar fundos dele. A emulação de cartão permite que você faça pagamentos sem contato em lojas e retire dinheiro em caixas eletrônicos. Como essas transações geralmente são feitas com valores pequenos, os bancos não as consideram suspeitas e não as bloqueiam.

A mensagem enfatiza que o malware SuperCard X atualmente não é reconhecido por nenhum sistema antivírus no VirusTotal. Além disso, a falta de necessidade de um grande número de permissões nos dispositivos da vítima e a ausência de recursos obviamente suspeitos, como sobreposições de tela, permitem que o malware escape da atenção do software antivírus. A emulação do cartão da vítima também parece legítima para os serviços de pagamento, indicando um alto nível de treinamento por parte dos invasores, incluindo um profundo entendimento de como funcionam os protocolos de cartões inteligentes.