SuperCard X Zararlısı, NFC Özelliğini Kullanarak Kredi Kartlarını Taklit Ediyor

Güvenlik uzmanları, Android cihazları hedef alan yeni bir “malware-as-a-service” (zararlı yazılım hizmeti) platformu tespit etti. SuperCard X adı verilen bu kötü amaçlı yazılım, NFC teknolojisini kullanarak kredi kartı bilgilerini çalıyor ve dolandırıcıların mağazalarda temaslı ödeme yapmasına olanak tanıyor. Mobil güvenlik firması Cleafy tarafından keşfedilen bu tehdit, özellikle İtalya’da aktif olarak kullanılıyor.

SuperCard X Üzerinden Dolandırıcılık Nasıl İşliyor?

Saldırı zinciri, kurbanların bankalarından geliyormuş gibi görünen sahte SMS veya WhatsApp mesajlarıyla başlıyor. Mesajda, şüpheli bir işlem nedeniyle belirtilen numarayı aramaları isteniyor. Telefonu açan dolandırıcılar, banka çalışanı rolü yaparak kart numarası ve PIN bilgilerini ele geçiriyor. Daha sonra kullanıcıyı, banka uygulaması üzerinden harcama limitlerini kaldırmaya ikna ediyorlar.

Son aşamada kurbanlara “Reader” adlı kötü amaçlı bir uygulama yükletiliyor. Güvenlik aracı gibi gösterilen bu uygulama, yalnızca NFC erişimi istiyor. Dolandırıcılar, kartın telefonla temas ettirilerek doğrulanması talimatını veriyor. Bu sırada uygulama, kart çipindeki verileri okuyarak saldırganlara iletiyor.

SuperCard X’in en dikkat çekici özelliği, şu anda hiçbir antivirüs motoru tarafından tespit edilememesi. Zararlı yazılım, ekran kaplama gibi agresif özellikler kullanmadığı için heuristik taramalardan kaçabiliyor. Ayrıca karşılıklı TLS (mTLS) kullanarak iletişimlerini şifreliyor ve araştırmacıların izlemesini zorlaştırıyor.

SuperCard X ilk olarak mobil güvenlik firması Cleafy tarafından tespit edildi. İtalya’da yapılan saldırılarda bu zararlı yazılımın farklı varyantlarına rastlandı. Bu durum, zararlı yazılımın saldırganlara bölgesel ihtiyaçlara göre özelleştirilmiş sürümlerinin sunulduğunu gösteriyor. Zararlı yazılımın Çin merkezli olduğu tahmin ediliyor.

SuperCard X, antivirüs yazılımları tarafından henüz tespit edilemiyor. Bunun en önemli nedeni, uygulamanın çok az sayıda izin istemesi ve saldırgan davranışlar sergilememesi. Uygulama ekran üzerine çıkmıyor, sahte bildirim göstermiyor ve telefonun diğer bölümlerine erişim istemiyor. Ayrıca, komuta ve kontrol sunucusuyla iletişimde mTLS (karşılıklı TLS) yöntemi kullanılıyor. Bu sistem, iletişimde kimlik doğrulaması sağladığı için zararlı trafiğin tespit edilmesini zorlaştırıyor.

Google’dan yapılan açıklamada, bu kötü amaçlı yazılımı içeren hiçbir uygulamanın Play Store’da bulunmadığı belirtildi. Android kullanıcıları, Google Play Protect sayesinde otomatik olarak korunuyor. Ancak uzmanlar, bankalardan gelen beklenmedik mesajlara itibar edilmemesi ve bilinmeyen kaynaklardan uygulama yüklenmemesi konusunda uyarıyor.