Uma nova ameaça digital está se espalhando entre usuários de Android. Trata-se do malware SuperCard X, uma plataforma vendida como serviço que permite realizar ataques de retransmissão por NFC. Esse tipo de golpe possibilita transações em terminais de pagamento e caixas eletrônicos usando dados de cartões de crédito roubados. A empresa de segurança móvel Cleafy foi a responsável por identificar o SuperCard X. O malware é associado a grupos de língua chinesa e apresenta código semelhante ao projeto de código aberto NFCGate e à sua versão maliciosa, NGate, usada em ataques na Europa desde o ano passado.
A Cleafy detectou casos recentes na Itália, com variantes ligeiramente diferentes, o que sugere que os afiliados do serviço recebem versões personalizadas do malware de acordo com suas necessidades. O golpe começa quando a vítima recebe uma mensagem falsa por SMS ou WhatsApp. A mensagem finge ser do banco da vítima e informa sobre uma suposta transação suspeita. A pessoa é então instruída a ligar para um número, onde um golpista se apresenta como atendente bancário. Através de técnicas de engenharia social, o criminoso convence a vítima a informar o número do cartão, a senha e até a remover limites de gasto no aplicativo do banco. Na etapa final, o criminoso pede que o usuário instale um aplicativo chamado Reader, apresentado como uma ferramenta de verificação de segurança.
O aplicativo é, na verdade, o SuperCard X. Ele solicita poucas permissões, principalmente o acesso ao NFC, o que já é suficiente para capturar os dados do chip do cartão. A vítima é orientada a encostar o cartão no celular para concluir a verificação. Nesse momento, o malware coleta as informações e as envia aos criminosos. Com esses dados em mãos, os invasores usam outro celular Android com um aplicativo chamado Tapper. Esse segundo app emula o cartão da vítima, permitindo que os golpistas façam pagamentos por aproximação e saques. Como as transações são de baixo valor e acontecem de forma instantânea, é mais difícil que os sistemas bancários detectem a fraude.
