SuperCard X est le dernier-né des plateformes de malware-as-a-service (MaaS), une formule où des pirates proposent des outils prêts à l’emploi contre rémunération. Cette nouvelle menace cible les smartphones Android en utilisant le NFC pour effectuer des paiements ou retirer de l’argent à partir de données bancaires volées. Une opération rodée vendue en ligne Selon l’entreprise de cybersécurité Cleafy, qui a repéré l’activité du malware en Italie, SuperCard X est promu sur des canaux Telegram, avec un service client pour les acheteurs. Le logiciel semble directement inspiré d’outils open source comme NFCGate et sa variante malveillante NGate, déjà utilisée en Europe l’an dernier. Le mode opératoire est particulièrement rodé. Tout commence par l’envoi d’un SMS ou d’un message WhatsApp, prétendument de la banque du destinataire. En appelant le numéro indiqué, la victime tombe sur un faux conseiller qui, par des techniques de manipulation psychologique, pousse à divulguer son numéro de carte et son code PIN. Les escrocs incitent ensuite la cible à supprimer les plafonds de dépense depuis son application bancaire. Dernière étape : convaincre la victime d’installer une application piégée, baptisée « Reader », soi-disant pour vérifier la sécurité de son compte. Celle-ci demande peu d’autorisations – principalement l’accès au module NFC – et passe donc facilement sous les radars. Une fois installée, l’application malveillante invite la victime à passer sa carte bancaire contre son téléphone pour « vérification ». En réalité, l’application extrait les données de la puce et les transmet aux criminels. Ces derniers les récupèrent sur un autre appareil Android équipé d’une seconde application, « Tapper », qui émule une carte bancaire. Grâce à ce processus, les attaquants peuvent effectuer des paiements sans contact dans les commerces ou retirer de l’argent à des distributeurs automatiques, dans la limite des plafonds imposés. Comme ces transactions sont rapides et paraissent légitimes, elles sont difficiles à détecter pour les banques. Cleafy souligne que SuperCard X reste pour l’instant invisible sur les antivirus, y compris sur VirusTotal. Sa discrétion est renforcée par l’absence d’autorisations suspectes et l’utilisation d’une communication sécurisée par mTLS (mutual TLS), compliquant l’interception des échanges entre les appareils infectés et les serveurs de commande. Interrogé sur cette affaire, Google a assuré qu’« aucune application contenant ce malware n’a été détectée sur Google Play » et rappelle que son système Play Protect protège par défaut les utilisateurs Android, même en cas d’installation d’applications extérieures.