Freym PC Blog
SuperCard X, el Sofisticado Malware que Explota la Retransmisión NFC
La noticia describe una preocupante campaña de fraude detectada recientemente por el equipo de Inteligencia de Amenazas de Cleafy, centrada en un malware móvil para Android denominado "SuperCard X". La característica más destacada y novedosa de esta amenaza es su uso de una técnica sofisticada de retransmisión NFC (Near Field Communication), la cual permite a los atacantes autorizar pagos fraudulentos en puntos de venta (TPV) y retiros en cajeros automáticos (ATM) de forma remota.
¿Cómo funciona la técnica de retransmisión NFC de SuperCard X?
A diferencia de los troyanos bancarios tradicionales que suelen basarse en superposiciones de pantalla o intercepción de SMS para robar credenciales, SuperCard X se aprovecha de la tecnología NFC presente en muchos dispositivos Android y tarjetas de pago modernas. La campaña se basa en una arquitectura de dos componentes principales:
• Aplicación "Reader": Esta aplicación maliciosa es la que se instala en el dispositivo Android de la víctima a través de tácticas de ingeniería social. Una vez instalada, y con permisos mínimos que a menudo pasan desapercibidos para los antivirus, la aplicación Reader espera a que la víctima acerque su tarjeta de débito o crédito al teléfono. En ese momento, la aplicación captura de forma silenciosa los datos de la tarjeta transmitidos a través de NFC.
• Aplicación "Tapper": Esta aplicación reside en un segundo dispositivo Android controlado por el atacante. La información de la tarjeta capturada por la aplicación Reader en el dispositivo de la víctima es retransmitida en tiempo real al dispositivo del atacante que ejecuta la aplicación Tapper. Esta aplicación Tapper es capaz de emular la tarjeta de la víctima utilizando los datos robados, permitiendo al atacante realizar pagos contactless o retiros en ATMs compatibles como si estuviera utilizando la tarjeta física de la víctima.
La comunicación entre las aplicaciones Reader y Tapper a menudo se asegura mediante protocolos como mTLS (mutual TLS) para garantizar una retransmisión cifrada y autenticada de los datos robados, dificultando su detección.
Las Tácticas de Ingeniería Social Empleadas:
• Smishing (SMS fraudulentos): Los atacantes envían mensajes de texto o de WhatsApp falsos, a menudo suplantando a entidades bancarias. Estos mensajes suelen crear un sentido de urgencia, alertando a la víctima sobre supuestas transacciones sospechosas y solicitando que contacten a un número de teléfono específico para "resolver" el problema.
• Llamadas telefónicas fraudulentas: Al llamar al número proporcionado en el mensaje fraudulento, la víctima es atendida por un atacante que se hace pasar por un representante del banco. Utilizando técnicas de persuasión, buscan obtener información sensible como el número de tarjeta y el PIN.
• Instalación de aplicaciones maliciosas: Bajo el pretexto de ser una herramienta de seguridad, una aplicación de verificación o similar, los atacantes convencen a la víctima para que instale la aplicación Reader desde un enlace proporcionado. Estas aplicaciones suelen solicitar permisos mínimos, lo que contribuye a su baja detectabilidad..
• Inducción al "Tap": Una vez que la aplicación Reader está instalada, los atacantes instruyen a la víctima para que acerque su tarjeta de pago al teléfono para una supuesta "verificación" o cualquier otra excusa convincente. Este paso es fundamental para que el malware pueda capturar los datos NFC de la tarjeta.
• Eliminación de límites de gasto: En algunos casos, los atacantes también guían a la víctima para que elimine o aumente los límites de gasto de su tarjeta a través de su aplicación de banca legítima, maximizando así el potencial de las transacciones fraudulentas.
Implicaciones y Riesgos:
La aparición de SuperCard X y su técnica de retransmisión NFC representa una evolución en las amenazas de malware móvil dirigidas a servicios financieros. Su enfoque en la explotación directa de la comunicación NFC para pagos contactless y retiros en tiempo real la hace particularmente peligrosa, ya que puede eludir algunos de los mecanismos de detección de fraude tradicionales que se centran en transacciones en línea o transferencias bancarias.
La baja detectabilidad del malware por parte de muchos programas antivirus, debido a sus permisos mínimos y comportamiento enfocado únicamente en la funcionalidad NFC, agrava el riesgo para los usuarios de Android. Además, el modelo de "Malware-as-a-Service" (MaaS) sugiere que esta herramienta podría estar disponible para otros grupos cibercriminales, ampliando su alcance potencial.
En resumen, SuperCard X es un recordatorio de la constante adaptación de los ciberdelincuentes y la necesidad de que los usuarios se mantengan vigilantes ante las tácticas de ingeniería social y sean cautelosos al instalar aplicaciones o interactuar con solicitudes inesperadas relacionadas con sus finanzas.