Tin tặc Trung Quốc sử dụng SuperCard X cho các cuộc tấn công NFC Relay

Nam Anh Mai D.Nam Anh Mai D.
5 min read

Các nhà nghiên cứu bảo mật thuộc Cleafy vừa qua đã ra cảnh báo về một chiến dịch phát tán mã độc mới nhắm tới người dùng Android thông qua các cuộc tấn công NFC Relay. Được theo dõi dưới cái tên SuperCard X, chiến dịch tấn công này nhắm tới việc giả mạo uỷ quyền thanh toán tại các máy POS và các máy ATM bằng cách chặn và chuyển tiếp thông tin NFC từ các thiết bị bị lây nhiễm. Thông qua kỹ thuật social engineering, ước tính có tới hàng ngàn người đã trở thành nạn nhân của chiến dịch phát tán mã độc này.

Thông tin chi tiết

Các tin tặc tiến hành chiến dịch khai thác thông qua các chiến dịch social engineering tinh vi nhắm tới người dùng. Bắt nguồn từ những tin nhắn lừa đảo tên WhatsApp hoặc tin nhắn SMS, tin tặc thành công đánh lừa các nạn nhân bằng các thông tin cảnh báo bảo mật giả mạo nhạy cảm như liên quan đến ngân hàng, hành chính,… và đính kèm yêu cầu liên hệ tới các tổng đài giả mạo mà tin tặc nắm quyền.

Các tin nhắn SMS giả mạo - Nguồn: Cleafy

Thông qua các tin nhắn trên, tin tặc có thể thực hiện các bước khai thác thông tin nhạy cảm khi nạn nhân liên hệ tới tổng đài của chúng. Quá trình khai thác của tin tặc có thể tóm gọn theo các bước sau:

  • Đánh cắp mã PIN: Tin tặc cố gắng khai thác mã PIN của nạn nhân. Bằng cách thuyết phục người dùng đặt lại mã PIN hoặc yêu cầu người dùng cung cấp mã PIN của họ, tin tặc có thể dễ dàng chiếm được thông tin quan trọng này. Ngoài ra chúng có thể yêu cầu người dùng tải xuống một ứng dụng ngân hàng giả mạo có chức năng đánh cắp mã PIN ngay sau khi người dùng nhập thông tin.

  • Loại bỏ giới hạn của thẻ: Tin tặc sau khi có khả năng truy cập vào ứng dụng ngân hàng của nạn nhân sẽ thuyết phục nạn nhân điều hướng đến cài đặt thẻ và xoá mọi giới hạn chi tiêu hiện có trong thẻ ghi nợ (debit card) hoặc thẻ tín dụng (credit card) của họ. Điều này cho phép tin tặc tối đa hoá khả năng rút tiền bất hợp phát từ tài khoản của nạn nhân.

  • Cài đặt ứng dụng độc hại: Tin tặc gửi tới người dùng liên kết dẫn tới ứng dụng độc hại được nguỵ trang như các ứng dụng bảo mật. Phần mềm độc hại này chứa mã độc SuperCard X, có khả năng khai thác các cuộc tấn công NFC Relay.

Tin nhắn chứa liên kết tải xuống SuperCard X - Nguồn: Cleafy

  • Thu thập dữ liệu NFC: Tin tặc điều hướng các nạn nhân thực hiện giao dịch trên các thiết bị POS hoặc ATM bị tin tặc lây nhiễm mã độc và kiểm soát từ trước. Thông qua các giao dịch, SuperCard X thực hiện ghi lại các thông tin được truyền qua NFC, đồng thời chặn thông tin và gửi tới máy chủ C2 (Command & Control) của tin tặc theo thời gian thực. Các thông tin này được tập kết tại một thiết bị Android đầu cuối do kẻ tấn công điều khiển.

  • Rút tiền bất hợp pháp: Bằng thông tin thu thập được của nạn nhân, tin tặc sử dụng thiết bị Android đầu cuối trên để thực hiện các giao dịch trái phép, gây thiệt hại lớn cho nạn nhân.

Sơ đồ minh hoạ tổng quan quá trình khai thác - Nguồn: Cleafy

SuperCard X sử dụng thiết lập mô-đun với hai ứng dụng riêng biệt: ReaderTapper. Cụ thể, Reader (biểu tượng mày xanh lam) có nhiệm vụ thu thập thông tin NFC trên các thiết bị của nạn nhân, trong khi Tapper (biểu tượng màu xanh lá cây) được cài đặt trên thiết bị Android đầu cuối của tin tặc, có nhiệm vụ thu nhận và sử dụng các dữ liệu bị đánh cắp để thực hiện các giao dịch trái phép.

Hai ứng dụng riêng biệt của SuperCard X - Nguồn: Cleafy

Đáng chú ý, phần mềm độc hại này hoàn toàn không thể bị phát hiện trên các nền tảng kiểm tra mã độc phổ biến như Virustotal. SuperCard X thành công che giấu hành vi độc hại của mình trước các giải pháp antivirus phổ biến do chỉ yêu cầu quyền android.permission.NFC trên thiết bị. Điều này nâng cao khả năng thuyết phục người dùng cài đặt ứng dụng mà không gặp bất kỳ sự nghi ngờ nào và gia tăng tỉ lệ thành công của cuộc tấn công, khiến mã độc này trở thành mối đe doạ nghiêm trọng hơn bao giờ hết.

SuperCard X vượt qua bài đánh giá của VirusTotal - Nguồn: Cleafy

Tổng kết

SuperCard X nổi bật hơn so với các mã độc trước đó do khai thác dựa trên kỹ thuật mới liên quan tới NFC để thực hiện các giao dịch bất hợp pháp. Dù phương pháp lừa đảo thông qua social engineering không quá phức tạp và mới mẻ, song thực tế sự hiệu quả và mức độ tinh vi trong việc che giấu hành vi khiến mối đe doạ này trở nên đặc biệt nguy hiểm. Mặt khác, mã độc này mở ra một xu hướng khai thác mới đáng báo động nhắm tới người dùng Android nói chung hay các thiết bị thanh toán qua NFC nói riêng, đòi hỏi các tổ chức và các nhà cung cấp dịch vụ cần tăng cường các biện pháp bảo mật và nâng cao năng lực giám sát chủ động trong việc ngăn chặn các kỹ thuật tấn công ngày càng tiến hoá trong thời điểm hiện nay.

IOCs

  • Ứng dụng độc hại
Mã băm SHA-256Chi tiết
2c6b914f9e27482152f704d3baea6c8030da859c9f5807be4e615680f93563a0Verifica Carta
3f39044c146a9068d1a125e1fe7ffc3f2e029593b75610ef24611aadc0dec2deSuperCard X
3fb91010b9b7bfc84cd0c1421df0c8c3017b5ecf26f2e7dadfe611f2a834330cKingCard NFC
  • Máy chủ C2
Máy chủ C2
api.kingcardnfc[.]com
api.kingnfc[.]com
api.payforce-x[.]com

Tham khảo

  1. SuperCard X: exposing a Chinese-speaker MaaS for NFC Relay fraud operation | Cleafy

  2. New sophisticate malware SuperCard X targets Androids via NFC relay attacks

0
Subscribe to my newsletter

Read articles from Nam Anh Mai D. directly inside your inbox. Subscribe to the newsletter, and don't miss out.

threat intelligencefiscybersec

Written by

Nam Anh Mai D.
Nam Anh Mai D.