Uma nova variedade de malware, conhecida como SuperCard X, está utilizando um ataque inovador de retransmissão de NFC (near field communication) para executar transações não autorizadas em ponto de venda (POS) e caixas eletrônicos (ATMs). O golpe, detalhado em um relatório recente da empresa Cleafy, é baseado em Android e foi identificado como parte de uma sofisticada campanha de fraude atacando principalmente usuários na Itália.
Leia também
Falha em NFC permite hackear caixas eletrônicos
Hackers podem usar NFC para instalar malware em celular Android
O ataque começa com uma mensagem falsa que a vítima recebe, supostamente do seu banco, via SMS ou WhatsApp. Ele informa que há uma transação suspeita e que você precisa ligar imediatamente para o número fornecido para resolver o problema. Nessa fase, os golpistas tentam criar um senso de urgência para que a vítima aja com menos cautela.
Quando o titular do cartão retorna a ligação para o número fornecido, ele é atendido por um golpista disfarçado de funcionário do suporte ao cliente. Usando métodos de engenharia social, ele obtém o número do cartão e o código PIN sob o pretexto de “verificação de identidade”. O próximo passo é tentar convencer a vítima a remover os limites de transação por meio do aplicativo bancário, o que amplia significativamente as oportunidades de roubo de fundos.
O esquema é completado pela instalação de um aplicativo Reader especial, disfarçado de ferramenta de segurança ou verificação. É ele que contém o código malicioso SuperCard X. Os desenvolvedores demonstraram uma engenhosidade particular: o programa solicita um mínimo de permissões – apenas acesso ao módulo NFC, o que ajuda a acalmar a vigilância do usuário. No entanto, isso é suficiente para roubo.
Seguindo as instruções do falso banqueiro, o dono do cartão o coloca no telefone para “verificação”. Nesse momento, é acionado o mecanismo de leitura das informações do chip, que são imediatamente enviadas aos invasores. No dispositivo Android, eles usam um segundo aplicativo, o Tapper, que cria uma cópia virtual do cartão roubado com base nos dados recebidos.
Esses “clones digitais” permitem que você faça pagamentos sem contato em lojas e retire dinheiro em caixas eletrônicos. Apesar das restrições existentes sobre valores, é extremamente difícil identificar e cancelar essas transações – elas ocorrem instantaneamente e parecem completamente legítimas para os sistemas bancários.
O malware é baseado no protocolo ATR (Answer to Reset), um mecanismo padrão que é iniciado toda vez que uma conexão é feita a um terminal. Quando o terminal envia um sinal de reinicialização para o cartão, o cartão deve responder com um código especial confirmando sua autenticidade. O SuperCard X aprendeu a imitar com precisão essas respostas, ou seja, a gerar as mesmas sequências de bytes que vêm de uma conta real.
