SuperCard X: la nuova truffa che attacca gli italiani che fanno pagamenti contactless

La minaccia delle frodi finanziarie sta raggiungendo nuovi livelli di sofisticazione con l’emergere di SuperCard X, un malware Android progettato per sfruttare la tecnologia NFC usata per i pagamenti contactless. Secondo un recentissimo rapporto della società italiana di cybersicurezza Cleafy, questa nuova minaccia consente ai cybercriminali di effettuare transazioni non autorizzate su terminali POS e prelievi ATM senza dover entrare in possesso fisico della carta della vittima. Basta che la vittima abbia salvato la propria carta di pagamento sullo smartphone.

Distribuito attraverso un modello Malware-as-a-Service (MaaS), SuperCard X rappresenta una pericolosa evoluzione nel panorama delle frodi finanziarie. Questo approccio consente ai malintenzionati di acquistare licenze per lanciare campagne locali, sfruttando due applicazioni principali: un’app cosiddetta “Reader” e una “Tapper”. Queste applicazioni lavorano in tandem per intercettare e trasmettere i dati NFC tra dispositivi compromessi e terminali controllati dagli aggressori.

Come funziona SuperCard X

L’attacco inizia con tecniche di ingegneria sociale: le vittime ricevono SMS ingannevoli o chiamate fraudolente, che inducono a installare un’app apparentemente legittima: è l’app “Reader“.

I truffatori, a questo punto, convincono la vittima ad usare l’app Reader affinché venga connessa all’app “Tapper“, che è invece installata sul telefono dei criminali. Se ciò avviene, l’app Reader legge i dati della carta salvata per i pagamento contactless e li trasmette all’app Tapper.

In questo modo l’app Tapper può essere usata per simulare, tramite il chip NFC, la presenza della carta clonata sul telefono dei truffatori. Se tutto va come i truffatori sperano, alla fine dal telefono degli hacker è possibile pagare al POS o addirittura prelevare denaro contante agli sportelli ATM contactless attingendo dal conto online della vittima.

SuperCard X è una minaccia gravissima

Le conseguenze di questa minaccia vanno oltre i singoli consumatori, esponendo l’intero ecosistema finanziario (banche, emittenti di carte e fornitori di servizi di pagamento) a nuovi rischi. La possibilità di eseguire transazioni istantanee, senza aver mai avuto in mano la carta di pagamento della vittima, riduce drasticamente il tempo disponibile per identificare e bloccare le attività fraudolente.

In un panorama dove le minacce informatiche si evolvono rapidamente, la lotta contro SuperCard X richiederà una collaborazione senza precedenti tra istituzioni finanziarie, aziende tecnologiche e ricercatori di sicurezza.

Al momento, l’unico modo per difendersi da questa minaccia è diffidare da messaggi e chiamate in cui si dice che il nostro conto è stato violato: se ne riceviamo, quindi, è meglio recarsi subito allo sportello bancario per essere sicuri che stiamo dialogando con la nostra banca, non con un hacker.