Este informe detalla una campaña de fraude activa recientemente identificada, destacando la aparición de un sofisticado malware móvil que aprovecha técnicas innovadoras:
El equipo de Inteligencia de Amenazas de Cleafy ha identificado una nueva y sofisticada campaña de malware para Android, denominada "SuperCard X" que emplea una novedosa técnica de retransmisión NFC, que permite a los agentes de amenazas (AT) autorizar fraudulentamente pagos en puntos de venta (TPV) y retiros de cajeros automáticos (ATM) interceptando y retransmitiendo las comunicaciones NFC desde dispositivos comprometidos.
El malware se distribuye mediante tácticas de ingeniería social, engañando a las víctimas para que instalen la aplicación maliciosa y, posteriormente, accedan a sus tarjetas de pago en sus teléfonos infectados.
Un análisis preliminar sugiere que los AT están utilizando una plataforma de malware como servicio (MaaS) en idioma chino, promocionada como SuperCard X. Este malware presenta una importante superposición de código con el malware NGate, previamente documentado y descubierto por ESET en 2024.
Esta novedosa campaña presenta un riesgo financiero significativo que va más allá de los objetivos convencionales de las instituciones bancarias, afectando directamente a los proveedores de pagos y emisores de tarjetas de crédito. La innovadora combinación de malware y retransmisión NFC permite a los atacantes realizar retiros fraudulentos con tarjetas de débito y crédito. Este método demuestra una alta eficacia, especialmente al atacar retiros en cajeros automáticos sin contacto.
Las agencias de transferencias aprovechan cada vez más las capacidades de NFC para capturar y transmitir datos confidenciales intercambiados a través de este protocolo. Esta amenaza emergente no se limita a una sola región; informes recientes, incluidos los de KrebsOnSecurity, detallan esquemas de fraude similares con NFC en EE.UU., que han dado lugar a arrestos vinculados a actores chinos.
La naturaleza de MaaS permite que múltiples afiliados operen localmente dentro de sus propias regiones o áreas de interés específico. Esta campaña de fraude está particularmente dirigida a Italia, pero no se puede descartar la posibilidad de que campañas similares o relacionadas estén activas en otras regiones del mundo.
Dado el potencial de impacto generalizado debido al modelo de distribución MaaS, recomendamos encarecidamente que las instituciones bancarias y los emisores de tarjetas mantengan una vigilancia rigurosa ante estos nuevos escenarios de ataque.
Análisis del escenario de fraude
La ejecución de esta sofisticada campaña de fraude se desarrolla mediante una serie de pasos bien orquestados, iniciados por una estrategia de ingeniería social dirigida. El ataque suele comenzar con mensajes engañosos, a menudo enviados por SMS o WhatsApp, diseñados para infundir una sensación de urgencia o alarma en el destinatario.
Estos mensajes suelen suplantar alertas de seguridad bancarias, notificando a los usuarios de un pago sospechoso. El mensaje invita a las posibles víctimas a llamar a un número específico para disputar la transacción. Este contacto inicial establece un escenario de Ataque Orientado al Teléfono (TOAD), donde los agentes de asistencia utilizan conversaciones telefónicas directas para manipular a sus objetivos.
Durante la llamada telefónica subsiguiente, los agentes de asistencia emplean tácticas persuasivas de ingeniería social para guiar a las víctimas a través de acciones que, en última instancia, comprometen los datos de su tarjeta de pago. Esta manipulación multietapa incluye:
- Obtención del PIN: Aprovechando la posible ansiedad de la víctima ante la transacción fraudulenta, los agentes de asistencia la convencen de "reiniciar" o "verificar" su tarjeta. Dado que las víctimas a menudo no recuerdan su PIN inmediatamente, los atacantes las guían a través de su aplicación de banca móvil para recuperar esta información confidencial.
- Eliminación del límite de la tarjeta: Una vez que se han ganado la confianza de la víctima y, potencialmente, el acceso a su aplicación bancaria (mediante instrucciones verbales), los agentes de asistencia le indican que acceda a la configuración de la tarjeta dentro de su aplicación y elimine cualquier límite de gasto existente en su tarjeta de débito o crédito. Este paso crucial maximiza el potencial de retiro fraudulento de efectivo.
- Instalación de una aplicación maliciosa: Posteriormente, los agentes de asistencia persuaden a la víctima para que instale una aplicación aparentemente inocua. Se envía un enlace a esta aplicación maliciosa, a menudo camuflado como una herramienta de seguridad o una utilidad de verificación, por SMS o WhatsApp. Sin el conocimiento de la víctima, esta aplicación oculta el malware SuperCard X, incorporando la funcionalidad de retransmisión NFC.
- Captura de datos NFC: Como etapa final de la manipulación, los agentes de asistencia técnica indican a la víctima que acerque su tarjeta de débito o crédito física a su dispositivo móvil infectado. El malware SuperCard X captura silenciosamente los datos de la tarjeta transmitidos vía NFC. Estos datos se interceptan en tiempo real y se transmiten mediante una infraestructura de Comando y Control (C2) a un segundo dispositivo Android controlado por el atacante.
- Retiro fraudulento de efectivo: Una vez transmitidos correctamente los datos de la tarjeta de la víctima, los agentes de asistencia técnica utilizan su segundo dispositivo para realizar transacciones no autorizadas. Esto suele implicar pagos sin contacto en terminales TPV o, lo que es más alarmante, retiradas de efectivo sin contacto en cajeros automáticos.
Es importante destacar el impacto de esta amenaza, ya que ya no se ajusta al paradigma tradicional del fraude, donde los objetivos eran los clientes de un banco específico. Por el contrario, el contexto operativo de este ataque es principalmente independiente de la institución financiera involucrada, ya que el objetivo final de los estafadores son las tarjetas de débito o crédito de los clientes, independientemente del banco emisor.
Al mismo tiempo, es necesario considerar las implicaciones en términos de velocidad de ejecución. A diferencia de los escenarios de fraude tradicionales, como las transferencias bancarias, cuyo procesamiento puede tardar hasta dos días hábiles, lo que permite tiempo para la detección e intervención, este tipo de ataque se ejecuta instantáneamente. Se asemeja a un "pago instantáneo", pero con la ventaja adicional para el atacante de obtener acceso inmediato a los bienes o servicios adquiridos. Esto genera un doble beneficio para el estafador: la rápida transferencia de los fondos robados y la disponibilidad inmediata de la transacción fraudulenta.
Fuente: Clearfy