Les chercheurs de Cleafy ont découvert la trace d’un nouveau logiciel malveillant à l’assaut des smartphones Android. Baptisé SuperCard X, le malware vise les cartes bancaires des utilisateurs. Pour arriver à ses fins, le virus déploie des attaques de relais NFC (ou « relay attacks » en anglais). Ce type de cyberattaques cible les systèmes sans contact, comme les cartes bancaires ou les smartphones utilisant la technologie NFC (Near Field Communication), en interceptant les communications entre deux appareils. Le virus est très proche de NGate, un autre virus analogue découvert par ESET.
« Cette nouvelle menace se distingue des précédentes, non pas tant par la complexité du logiciel malveillant, mais par le mode opératoire : une technique inédite qui exploite les capacités du NFC pour tromper la victime », explique Cleafy.
À lire aussi : le virus ResolverRAT prend d’assaut le secteur de la santé et de la pharmacie
Un faux service client
Dans un premier temps, les pirates vont contacter la cible par SMS ou sur WhatsApp. Les escrocs vont se faire passer pour la banque de la victime. C’est une technique très répandue chez les cybercriminels. Pour provoquer la panique de leur interlocuteur, ils vont ensuite prétexter une transaction suspecte sur le compte bancaire de celle-ci. Afin de résoudre le problème, et bloquer d’autres transactions potentiellement frauduleuses, la cible doit appeler un numéro de téléphone.
Au bout du fil, un pirate va usurper l’identité du service client de la banque. De fil en aiguille, ce faux service d’assistance va convaincre la victime de lui communiquer son numéro de carte et son code PIN, à des fins de vérification. L’escroc pousse ensuite son interlocuteur à lever les limites de dépenses de son compte en se connectant à l’application de sa banque sur son smartphone. Le pirate demande ensuite d’installer une application malveillante qui se fait passer pour une application de sécurité légitime et inoffensive.
C’est cette application qui renferme le code de SuperCard X. Discret, le virus parvient à passer sous le radar de la plupart des antivirus. Il ne réclame pas beaucoup d’autorisations Android et « ne fait que collecter des données NFC et les transmettre via un canal de communication, ce qui les rend moins détectables ». Par contre, il n’est pas parvenu à entrer sur le Play Store. Interrogé par Bleeping Computer, Google affirme qu’aucune application « contenant ce logiciel malveillant n’a été trouvée sur Google Play ».
Un accès à la puce NFC
Lors de l’installation, l’application va demander un accès à la puce NFC du smartphone Android. Au téléphone, l’escroc demande à la victime de poser sa carte bancaire sans contact sur son smartphone. Celui-ci prétend que la manœuvre sert uniquement à vérifier la validité de la carte. En vérité, elle permet au virus implanté sur le smartphone de lire les données NFC de la carte. Ces données sont envoyées aux pirates à l’origine de l’offensive.
Les attaquants utilisent alors une application spéciale appelée Tapper pour cloner la carte bancaire. L’application transforme le téléphone Android en faux terminal NFC, qui est capable de se comporter comme si c’était la carte physique de la victime. À partir de là, les pirates peuvent se servir de leur propre téléphone pour réaliser des achats ou payer des services en ponctionnant le compte bancaire de la cible. Les paiements se font évidemment sans contact. Pour éviter les alertes anti-fraudes, les cybercriminels s’en tiennent le plus souvent à des petites transactions.
Selon l’enquête menée par Cleafy, les pirates derrière l’attaque proviennent de la Chine. Les escrocs vendent leurs outils, y compris le virus SuperCard X, par le biais d’un abonnement. Les cyberattaques reposant sur le NFC et le clonage d’une carte bancaire à distance ont été recensées en Italie. Il est fort probable que les opérations de ce genre soient en cours dans d’autres pays d’Europe, voire du monde.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Cleafy
