Este informe detalla una campaña de fraude activa recientemente identificada,
destacando la aparición de un sofisticado malware móvil que aprovecha técnicas
innovadoras:
El equipo de Inteligencia de Amenazas de
Cleafy ha identificado una nueva y sofisticada campaña de malware para
Android, denominada «SuperCard X» que emplea una novedosa técnica de
retransmisión NFC, que permite a los agentes de amenazas (AT) autorizar
fraudulentamente pagos en puntos de venta (TPV) y retiros de cajeros
automáticos (ATM) interceptando y retransmitiendo las comunicaciones NFC desde
dispositivos comprometidos.
El malware se distribuye mediante tácticas de ingeniería social, engañando a
las víctimas para que instalen la aplicación maliciosa y, posteriormente,
accedan a sus tarjetas de pago en sus teléfonos infectados.
Un análisis preliminar sugiere que los AT están utilizando una plataforma de
malware como servicio (MaaS) en idioma chino, promocionada como SuperCard X.
Este malware presenta una importante superposición de código con el malware
NGate, previamente documentado y descubierto por ESET en 2024.
Esta novedosa campaña presenta un riesgo financiero significativo que va más
allá de los objetivos convencionales de las instituciones bancarias, afectando
directamente a los proveedores de pagos y emisores de tarjetas de crédito.
La innovadora combinación de malware y retransmisión NFC permite a los
atacantes realizar retiros fraudulentos con tarjetas de débito y crédito.
Este método demuestra una alta eficacia, especialmente al atacar retiros en
cajeros automáticos sin contacto.
Las agencias de transferencias aprovechan cada vez más las capacidades de NFC
para capturar y transmitir datos confidenciales intercambiados a través de
este protocolo. Esta amenaza emergente no se limita a una sola región;
informes recientes, incluidos los de
KrebsOnSecurity, detallan esquemas de fraude similares con NFC en EE.UU., que han dado lugar
a arrestos vinculados a actores chinos.
La naturaleza de MaaS permite que múltiples afiliados operen localmente dentro
de sus propias regiones o áreas de interés específico. Esta campaña de fraude
está particularmente dirigida a Italia, pero no se puede descartar la
posibilidad de que campañas similares o relacionadas estén activas en otras
regiones del mundo.
Dado el potencial de impacto generalizado debido al modelo de distribución
MaaS, recomendamos encarecidamente que las instituciones bancarias y los
emisores de tarjetas mantengan una vigilancia rigurosa ante estos nuevos
escenarios de ataque.
Análisis del escenario de fraude
La ejecución de esta sofisticada campaña de fraude se desarrolla mediante una
serie de pasos bien orquestados, iniciados por una estrategia de ingeniería
social dirigida.
El ataque suele comenzar con mensajes engañosos, a menudo enviados por SMS
o WhatsApp, diseñados para infundir una sensación de urgencia o alarma en el
destinatario.
Estos mensajes suelen suplantar alertas de seguridad bancarias, notificando a
los usuarios de un pago sospechoso. El mensaje invita a las posibles víctimas
a llamar a un número específico para disputar la transacción. Este contacto
inicial establece un escenario de Ataque Orientado al Teléfono (TOAD), donde
los agentes de asistencia utilizan conversaciones telefónicas directas para
manipular a sus objetivos.
Durante la llamada telefónica subsiguiente, los agentes de asistencia emplean
tácticas persuasivas de ingeniería social para guiar a las víctimas a través
de acciones que, en última instancia, comprometen los datos de su tarjeta de
pago. Esta manipulación multietapa incluye:
-
Obtención del PIN: Aprovechando la posible ansiedad de la víctima
ante la transacción fraudulenta, los agentes de asistencia la convencen de
«reiniciar» o «verificar» su tarjeta. Dado que las víctimas a menudo no
recuerdan su PIN inmediatamente, los atacantes las guían a través de su
aplicación de banca móvil para recuperar esta información confidencial. -
Eliminación del límite de la tarjeta: Una vez que se han ganado la
confianza de la víctima y, potencialmente, el acceso a su aplicación
bancaria (mediante instrucciones verbales), los agentes de asistencia le
indican que acceda a la configuración de la tarjeta dentro de su aplicación
y elimine cualquier límite de gasto existente en su tarjeta de débito o
crédito. Este paso crucial maximiza el potencial de retiro fraudulento de
efectivo. -
Instalación de una aplicación maliciosa: Posteriormente, los agentes
de asistencia persuaden a la víctima para que instale una aplicación
aparentemente inocua. Se envía un enlace a esta aplicación maliciosa, a
menudo camuflado como una herramienta de seguridad o una utilidad de
verificación, por SMS o WhatsApp. Sin el conocimiento de la víctima, esta
aplicación oculta el malware SuperCard X, incorporando la funcionalidad de
retransmisión NFC. -
Captura de datos NFC: Como etapa final de la manipulación, los
agentes de asistencia técnica indican a la víctima que acerque su tarjeta de
débito o crédito física a su dispositivo móvil infectado. El malware
SuperCard X captura silenciosamente los datos de la tarjeta transmitidos vía
NFC. Estos datos se interceptan en tiempo real y se transmiten mediante una
infraestructura de Comando y Control (C2) a un segundo dispositivo Android
controlado por el atacante. -
Retiro fraudulento de efectivo: Una vez transmitidos correctamente
los datos de la tarjeta de la víctima, los agentes de asistencia técnica
utilizan su segundo dispositivo para realizar transacciones no autorizadas.
Esto suele implicar pagos sin contacto en terminales TPV o, lo que es más
alarmante, retiradas de efectivo sin contacto en cajeros automáticos.
Es importante destacar el impacto de esta amenaza, ya que ya no se ajusta al
paradigma tradicional del fraude, donde los objetivos eran los clientes de un
banco específico. Por el contrario,
el contexto operativo de este ataque es principalmente independiente de la
institución financiera involucrada, ya que el objetivo final de los
estafadores son las tarjetas de débito o crédito de los clientes,
independientemente del banco emisor.
Al mismo tiempo, es necesario considerar las implicaciones en términos de
velocidad de ejecución. A diferencia de los escenarios de fraude
tradicionales, como las transferencias bancarias, cuyo procesamiento puede
tardar hasta dos días hábiles, lo que permite tiempo para la detección e
intervención, este tipo de ataque se ejecuta instantáneamente. Se asemeja a
un «pago instantáneo», pero con la ventaja adicional para el atacante de
obtener acceso inmediato a los bienes o servicios adquiridos. Esto genera un
doble beneficio para el estafador: la rápida transferencia de los fondos
robados y la disponibilidad inmediata de la transacción fraudulenta.
Fuente:
Clearfy