Una investigación de la firma de ciberseguridad Cleafy ha identificado un nuevo y peligroso malware llamado SuperCard X. Se trata de un MaaS (siglas en inglés de malware como servicio) dirigido a dispositivos Android que, mediante ataques de retransmisión NFC, obtiene datos de tarjetas bancarias con los que después se pueden realizar transacciones en puntos de venta y sacar dinero en cajeros automáticos.

El módulo NFC es un chip presente en los dispositivos móviles que permite la comunicación inalámbrica de corto alcance y que, entre otros usos, tiene el de realizar pagos contactless. Un ataque de retransmisión intercepta y retransmite la comunicación del chip NFC del móvil, lo que permite hacerse con los datos de las tarjetas que se utilizan.

SuperCard X está vinculado a actores maliciosos de habla china y muestra similitudes con otro malware ya conocido, NGate, utilizado en ataques en Europa desde el año pasado. Cleafy ha detectado ataques de SuperCard X en Italia. La plataforma se promociona a través de canales de Telegram, donde también se ofrece soporte directo a los ‘clientes’.

La compañía de ciberseguridad ha observado en su investigación múltiples variantes del malware, lo que indica que los que contratan SuperCard X pueden solicitar versiones personalizadas, adaptadas a necesidades regionales o específicas, a los proveedores de este servicio de malware.

Cómo funciona el ataque de SuperCard X

El ataque comienza con el envío de un SMS o mensaje de WhatsApp falso, que suplanta a una entidad bancaria y solicita llamar a un número para resolver una supuesta transacción sospechosa.

Si la víctima cae en el engaño y llama, es atendida por un estafador que, haciéndose pasar por un operador telefónico del banco, utiliza técnicas de ingeniería social para obtener su número de tarjeta y PIN y la convence para eliminar límites de gasto a través de su aplicación bancaria.

Posteriormente, se persuade a la víctima para que instale una aplicación maliciosa denominada Reader, presentada como una herramienta de seguridad o verificación, que contiene el malware SuperCard X.

La app Reader solicita permisos mínimos, principalmente acceso al módulo NFC, que son suficientes para robar los datos de la tarjeta. El estafador instruye a la víctima para que acerque su tarjeta de pago al teléfono, lo que permite al malware leer los datos del chip y enviarlos a los atacantes.

Los datos son recibidos en un dispositivo Android que ejecuta otra aplicación llamada Tapper, que emula la tarjeta de la víctima utilizando la información robada. Estas tarjetas ‘emuladas’ permiten realizar pagos sin contacto en tiendas y retiradas en cajeros automáticos, aunque con límites de cantidad. Al tratarse de transacciones pequeñas e inmediatas, resultan más difíciles de detectar y revertir por los bancos.

Un malware indetectable por los principales antivirus

Cleafy señala que actualmente SuperCard X no es detectado por ningún motor antivirus en VirusTotal, servicio que escanea archivos usando 60 antivirus diferentes. Además, al no solicitar permisos considerados de riesgo ni utilizar técnicas agresivas como la superposición de pantalla, evade los escaneos heurísticos.

La emulación de la tarjeta se basa en ATR (Answer to Reset, sistema que identifica una tarjeta bancaria con chip frente al dispositivo lector cuando se establece la comunicación entre ambos), lo que permite que los terminales de pago perciban la tarjeta como legítima.

Otro aspecto técnico relevante de Supercard X es el uso del protocolo de seguridad mutual TLS (mTLS) para la autenticación cliente/servidor mediante certificados, lo que protege las comunicaciones C2 de interceptaciones o análisis por investigadores o fuerzas de seguridad.