Una innovadora campaña de fraude digital fue recientemente identificada en Italia, en la que se combinan técnicas de ingeniería social, software malicioso y la explotación de la tecnología NFC (comunicación de corto alcance) para acceder a datos financieros.

Un grupo de investigadores de la firma de ciberseguridad Cleafy ha descubierto una nueva campaña dirigida contra sistemas operativos Android que han denominado SuperCardX. Según los estudios preliminares, este malware forma parte de una estructura más amplia de tipo Malware como Servicio (MaaS), operada desde foros de habla china, que ofrece herramientas especializadas para realizar fraudes con tarjetas sin contacto.

El ataque comienza con una estrategia de smishing (mensajes fraudulentos por SMS o WhatsApp), en los que se alerta a la víctima para que se comunique con un número telefónico. Durante esa llamada, los atacantes engañan al usuario para que instale SuperCardX en su celular. Luego, le indican que acerque su tarjeta bancaria al dispositivo, ya infectado, lo que permite capturar la señal NFC. Con esos datos, los criminales ejecutan un ataque de relay, simulando transacciones sin contacto en terminales de pago (POS) o cajeros automáticos (ATM) desde otra ubicación.

Esquema del fraude
Fuente: https://www.cleafy.com/cleafy-labs/supercardx-exposing-chinese-speaker-maas-for-nfc-relay-fraud-operation

Según Cleafy, a diferencia de otros fraudes financieros más localizados, este enfoque no discrimina entidades bancarias: busca obtener datos de cualquier tarjeta que utilice tecnología contactless. Además, la capacidad de actuar casi en tiempo real dificulta la detección y respuesta por parte de los sistemas de control bancario.

Uno de los aspectos más preocupantes es que el malware no roba dinero directamente ni accede a otras funciones del dispositivo. Su única función es interceptar la señal NFC y retransmitirla, lo que complica su detección por parte de los antivirus convencionales.

Para mitigar estos riesgos, expertos de ESET recomiendan seguir una serie de buenas prácticas:

  • Verificar la autenticidad de los sitios web.
  • Descargar aplicaciones solo desde fuentes oficiales, como Google Play.
  • Mantener en secreto el PIN de las tarjetas.
  • Usar aplicaciones de seguridad en el celular, que detecten y bloqueen software no deseado o malware como SuperCardX.
  • Desactivar la función NFC cuando no se use.
  • Utilizar fundas protectoras para tarjetas con tecnología RFID.
  • Optar por versiones digitales de las tarjetas físicas en el smartphone.

En conclusión, los expertos de Cleafy señalan que: «El uso de múltiples vectores de ataque dentro de una misma campaña de fraude añade una capa adicional de complejidad. Este enfoque multicanal representa un desafío extra para las tareas de monitoreo y resalta la creciente necesidad de contar con capacidades de detección en tiempo real.»

Fuente