145/68 (IT) ประจำวันจันทร์ที่ 21 เมษายน 2568
บริษัทด้านความปลอดภัย Cleafy เปิดเผยภัยคุกคามใหม่ “SuperCard X” ซึ่งเป็นมัลแวร์รูปแบบบริการ (MaaS) ที่โจมตีอุปกรณ์ Android โดยใช้เทคนิค NFC relay attack เพื่อขโมยข้อมูลบัตรเครดิตจากเหยื่อ และนำไปใช้ทำธุรกรรมที่ตู้ ATM หรือจุดบริการชำระเงินในร้านค้า มัลแวร์นี้มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ที่ใช้ภาษาจีน และพบรหัสโปรแกรมคล้ายคลึงกับโครงการโอเพนซอร์ส NFCGate รวมถึงมัลแวร์ NGate ที่เคยโจมตีในยุโรปเมื่อปีก่อน แพลตฟอร์มนี้ถูกโฆษณาผ่านช่อง Telegram ที่พร้อมให้บริการลูกค้าแบบเต็มรูปแบบ โดยพบการโจมตีในอิตาลีด้วย และมีตัวอย่างมัลแวร์หลายรุ่นที่ปรับแต่งตามความต้องการเฉพาะภูมิภาค
รูปแบบการโจมตีเริ่มต้นจากการส่ง SMS หรือข้อความ WhatsApp ปลอมที่แอบอ้างว่าเป็นธนาคาร แจ้งว่ามีธุรกรรมผิดปกติและขอให้เหยื่อติดต่อกลับ เมื่อเหยื่อโทรไป จะมีมิจฉาชีพอ้างตัวว่าเป็นเจ้าหน้าที่จากธนาคาร และหลอกให้ยืนยันหมายเลขบัตรและรหัส PIN จากนั้นหลอกให้เหยื่อติดตั้งแอปปลอมชื่อ Reader ซึ่งแฝงมัลแวร์ SuperCard X ไว้ ภายหลังจากที่เหยื่อติดตั้งแอปและนำบัตรแตะโทรศัพท์เพื่อ ยืนยันตัวตน แอปจะอ่านข้อมูลชิปบัตรและส่งต่อให้ผู้โจมตี ผู้โจมตีจะใช้แอปอีกตัวชื่อ Tapper บนอุปกรณ์ Android เพื่อจำลองบัตรของเหยื่อและนำไปใช้จ่ายชำระค่าสินค้าหรือทำการถอนเงินได้
มัลแวร์ SuperCard X มีความสามารถในการหลบเลี่ยงการตรวจจับจากเครื่องมือป้องกันมัลแวร์ โดยไม่ร้องขอสิทธิ์เข้าถึงที่ดูน่าสงสัยและไม่ใช้เทคนิคโจมตีเชิงรุกเช่นการซ้อนหน้าจอ (overlay) จึงไม่ถูกตรวจจับโดยระบบป้องกันไวรัสในปัจจุบัน นอกจากนี้ยังใช้การจำลองบัตรแบบ ATR (Answer to Reset) เพื่อให้บัตรปลอมดูเหมือนของจริง และใช้ระบบ mutual TLS (mTLS) ในการเข้ารหัสการสื่อสารระหว่างเซิร์ฟเวอร์ควบคุม (C2) ซึ่งป้องกันไม่ให้เจ้าหน้าที่หรือผู้วิจัยวิเคราะห์ข้อมูลได้ ทั้งนี้ Google ยืนยันว่าขณะนี้ยังไม่พบแอปที่มีมัลแวร์ SuperCard X บน Google Play และผู้ใช้ Android ที่เปิดใช้งาน Google Play Protect จะได้รับการป้องกันโดยอัตโนมัติ
