Negli ultimi mesi, l’ecosistema della sicurezza informatica ha assistito all’emergere di una nuova minaccia mobile: SuperCard X. Si tratta di una piattaforma Malware-as-a-Service (MaaS) sviluppata da attori malevoli di lingua cinese. Il malware rilevato per la prima volta da Cleafy LABS, prende di mira dispositivi Android e sfrutta la tecnologia NFC per eseguire attacchi relay. L’obiettivo è quello di effettuare transazioni fraudolente presso POS e ATM.
A differenza dei tradizionali malware bancari, SuperCard X si caratterizza per una struttura modulare e una notevole attenzione all’evasione dei sistemi di rilevamento. Utilizza tecniche di ingegneria sociale ben collaudate; il malware induce le vittime a installare un’app apparentemente innocua. In realtà si tratta di un sofisticato strumento di sottrazione dati.
Ciò che rende SuperCard X particolarmente rilevante è il suo modello di distribuzione: la piattaforma viene promossa tramite canali Telegram; offre supporto agli affiliati e consente la personalizzazione degli attacchi. I campioni osservati mostrano varianti su misura, indicando una strategia adattiva molto efficiente.
SuperCard X è una minaccia reale e concreta: compromette la sicurezza dei pagamenti contactless e sfrutta le lacune e vulnerabilità nel comportamento degli utenti.
SuperCard X: meccanismo di attacco
Il ciclo dell’attacco inizia con una tecnica nota come smishing. La vittima riceve un SMS o un messaggio WhatsApp apparentemente inviato dalla propria banca. Il testo avvisa di una transazione sospetta e invita a contattare un numero telefonico. Al telefono risponde un operatore che si finge addetto al supporto clienti della banca; con toni rassicuranti e un linguaggio tecnico credibile, convince l’utente a fornire numero di carta, PIN e altre credenziali. Successivamente, la vittima riceve un link per scaricare un’applicazione denominata “Reader”, presentata come uno strumento di sicurezza per verificare la carta.
Una volta installata, l’app Reader richiede esclusivamente il permesso di accedere al modulo NFC; questo rende difficile rilevare il comportamento anomalo. La vittima viene quindi istruita a poggiare la carta sul retro del telefono per “verificarla”. In quel momento, il malware estrae i dati NFC dalla carta e li inoltra, attraverso un’infrastruttura C2 protetta da mTLS, a un altro dispositivo Android controllato dagli attaccanti. Su quest’ultimo è installata l’app “Tapper”, che utilizza i dati ricevuti per emulare digitalmente la carta originale.
L’attacco si completa quando il dispositivo degli attaccanti, attraverso Tapper, viene utilizzato presso POS o ATM abilitati per NFC. La carta virtuale viene riconosciuta come valida; le transazioni risultano apparentemente legittime; il prelievo o l’acquisto avviene con successo. La natura contactless dell’intero processo riduce drasticamente le probabilità di rilevamento da parte delle banche. Inoltre, la mancanza di permessi invasivi o comportamenti sospetti permette a SuperCard X di restare invisibile agli antivirus.
Analisi tecnica della piattaforma SuperCard X
Dal punto di vista tecnico, SuperCard X mostra una struttura modulare. Ci sono due componenti principali: Reader, installata sul dispositivo della vittima, e Tapper, che opera sul dispositivo degli attaccanti. Entrambe le app comunicano tramite HTTP cifrato e condividono un’infrastruttura di comando e controllo. Il flusso dei dati è protetto tramite mTLS; quindi, garantisce l’autenticazione reciproca e rende difficile l’intercettazione delle comunicazioni da parte dei ricercatori di sicurezza.
Il Reader esegue un’emulazione ATR (Answer to Reset), tecnica utilizzata per simulare la presenza fisica della carta nei terminali di pagamento. Questo aspetto dimostra una comprensione profonda dei protocolli smartcard. Inoltre, le versioni del malware analizzate contengono personalizzazioni minime a livello di interfaccia; ogni affiliato può ottenere una versione dedicata, ottimizzata per un target geografico o comportamentale specifico. Alcuni campioni analizzati in Italia, ad esempio, presentano stringhe localizzate e icone coerenti con servizi bancari nazionali.
Un dettaglio rilevante è la totale assenza di richieste di permessi invasivi. L’app Reader, ad esempio, non richiede l’accesso ai contatti, SMS o localizzazione. Questo contribuisce alla sua bassa rilevabilità su piattaforme come VirusTotal. In parallelo, i ricercatori di .Cleafy hanno osservato la rimozione dei riferimenti a Telegram dai file distribuiti; segno di una strategia di offuscamento pensata per proteggere l’anonimato degli affiliati.
SuperCard X: conclusioni
SuperCard X è un salto qualitativo nel panorama delle minacce mobile. Non tanto per la complessità del malware in sé, quanto per la sofisticazione del modello di attacco. L’integrazione tra ingegneria sociale, evasione delle difese e sfruttamento dell’NFC lo rende difficile da contrastare. A differenza di altri trojan bancari, SuperCard X non punta al controllo totale del dispositivo. Si concentra su un obiettivo preciso: la sottrazione e l’emulazione dei dati di pagamento.
La piattaforma è ancora in fase di diffusione. Non è presente sul Play Store, ma si propaga attraverso messaggi mirati e supporto attivo tramite Telegram. Google ha dichiarato di non aver rilevato app infette sul proprio marketplace, ma ha annunciato lo sviluppo di nuove contromisure per bloccare installazioni da fonti sconosciute durante le chiamate.
Nel frattempo, è fondamentale mantenere attiva la protezione Play Protect; così come evitare di cliccare su link ricevuti via SMS o messaggi istantanei; inoltre è importante non condividere mai credenziali bancarie per telefono e evitare qualunque tipo di dialogo telefonico con operatori che si presentano come addetti al supporto clienti bancari.
