Компанія Cleafy виявила критичну загрозу для користувачів Android-пристроїв – шкідливу платформу SuperCard X, що використовує вразливості NFC-інтерфейсу для проведення relay-атак. Ця розробка дозволяє зловмисникам здійснювати несанкціоновані транзакції через викрадені дані банківських карт, створюючи серйозні ризики для фінансової безпеки.
Технічний аналіз платформи SuperCard X
Дослідження показало, що платформа базується на модифікованій версії проекту NFCGate, розробленого в Дармштадтському технічному університеті для тестування NFC-протоколів. Зловмисники трансформували легітимний інструмент діагностики у потужний засіб для здійснення шахрайських операцій. Особливу небезпеку становить використання взаємної TLS-автентифікації та технології ATR для емуляції карт, що ускладнює виявлення нелегітимних транзакцій.
Механізм проведення атак
Зловмисники розпочинають атаку з розсилки фішингових повідомлень через SMS або WhatsApp, маскуючись під банківські установи. Під час телефонної розмови жертву переконують встановити шкідливе ПЗ Reader, яке подається як захисний інструмент. Після отримання доступу до NFC-модуля пристрою, малвар дозволяє перехоплювати дані банківських карт при їх контакті зі смартфоном.
Масштаби поширення та статистика збитків
За даними аналітичної компанії F6, лише в Росії кількість скомпрометованих пристроїв перевищила 22 000, а фінансові втрати за перші два місяці 2025 року досягли 200 мільйонів рублів. Підтверджено випадки атак в Італії, причому виявлено декілька модифікацій шкідливого ПЗ, адаптованих під різні регіони.
Рекомендації щодо захисту
Фахівці з кібербезпеки наголошують на необхідності дотримання базових правил цифрової гігієни: відмова від встановлення додатків з неперевірених джерел та ігнорування підозрілих повідомлень від імені банків. Google підтверджує відсутність пов’язаних із SuperCard X додатків у Play Store та забезпечує захист через систему Google Play Protect. Користувачам рекомендується регулярно оновлювати програмне забезпечення та використовувати надійні антивірусні рішення для мінімізації ризиків.
