SuperCard X : le malware qui transforme votre smartphone en carte bancaire pirate

Ce nouveau malware-as-a-service exploite le NFC pour voler et utiliser vos cartes en magasin. Décryptage d'une menace déjà active en Europe et bientôt mondiale.

La nouvelle menace de malware : SuperCard X

Les hackers ont toujours eu une prédilection pour l’utilisation de malwares pour s’emparer des détails de vos cartes de crédit. Cependant, une nouvelle plateforme de malware-as-a-service, connue sous le nom de SuperCard X, rend cette tâche incroyablement facile, permettant aux hackers d’utiliser ces cartes volées en personne dans les magasins et même aux distributeurs automatiques de billets.

Comment fonctionne SuperCard X ?

Découvert par la firme de sécurité mobile Cleafy, SuperCard X présente de nombreuses similitudes avec le malware NGate. Il utilise également des cartes sans contact pour commettre des fraudes en prenant le contrôle des capacités NFC d’un appareil vulnérable. Avec vos détails de carte de crédit en main, les hackers à l’origine de cette campagne les utilisent ensuite pour effectuer de petites transactions et des retraits aux distributeurs automatiques, afin d’éviter qu’elles soient signalées comme frauduleuses.

Comment éviter de devenir victime ?

Comme pour d’autres attaques de malware, celle-ci commence par une victime recevant un message texte ou un message WhatsApp déguisé en communication de leur banque. Ce message de phishing prétend qu’ils doivent appeler un numéro pour résoudre des problèmes avec leur compte causés par une transaction suspecte.

Les hackers derrière cette campagne se font passer pour le support de la banque à l’autre bout de l’appel et utilisent l’ingénierie sociale pour tromper les victimes potentielles en « confirmant » leur numéro de carte et leur code PIN. Ils tentent ensuite de convaincre la victime de supprimer les limites de dépenses via leur application bancaire, ce qui est définitivement un signal d’alarme, car aucune banque n’essaierait de faire quelque chose comme cela par téléphone.

Pour accéder à leurs cartes de crédit, les hackers convainquent les victimes d’installer une application malveillante appelée Reader, déguisée en outil de sécurité ou de vérification. Comme vous pouvez l’imaginer, elle contient le malware SuperCard X. Après installation, l’application Reader ne demande pas une multitude de permissions inutiles comme nous l’avons vu avec d’autres applications malveillantes dans le passé. Au lieu de cela, elle ne demande que quelques permissions essentielles, la principale étant l’accès au module NFC d’un appareil Android.

Comment se protéger ?

La bonne nouvelle avec cette campagne est que, selon le rapport de Cleafy, SuperCard X n’est actuellement utilisé par les hackers et les escrocs qu’en Italie. Cependant, comme il s’agit d’une offre de malware-as-a-service achetée sur le dark web, elle pourrait facilement se propager à d’autres pays et continents à tout moment. Par conséquent, voici quelques conseils pour vous protéger de SuperCard X et d’autres malwares Android.

Le top 5 des conseils

1. N’installez jamais d’applications hors Play Store – Évitez les APK provenant de sources inconnues. Le Play Store propose déjà des filtres de sécurité — même s’ils ne sont pas parfaits, ils offrent une première barrière.
2. Vérifiez les permissions des applications – Une app de lampe torche qui demande l’accès à vos messages ? Fuyez. Accordez uniquement les permissions strictement nécessaires à l’usage de l’application.
3. Méfiez-vous des messages suspects (SMS, WhatsApp, e-mails) – Ne cliquez jamais sur un lien d’un message prétendument envoyé par votre banque ou un service officiel. En cas de doute, contactez directement l’institution via ses canaux officiels.
4. Utilisez un antivirus mobile réputé – Des solutions comme Bitdefender, Avast ou Kaspersky peuvent détecter les comportements suspects et bloquer les applications malveillantes avant qu’elles ne fassent des dégâts.
5. Activez la double authentification sur tous vos comptes – Même si vos identifiants sont compromis, la double authentification (2FA) constitue une barrière supplémentaire cruciale pour protéger vos données sensibles.