I sistemi di pagamento tramite smartphone, come Google Pay, garantiscono teoricamente un livello di sicurezza superiore rispetto all’uso della carta di credito fisica. L’uso della tokenizzazione, infatti, “nasconde” il numero della carta di credito e impedisce quindi che qualcuno possa leggerlo e riutilizzarlo.

Alla base di questa funzionalità c’è la tecnologia NFC (Near Field Communication), utilizzata sia per i pagamenti, sia per collegare la carta di credito al proprio wallet. Nelle mani dei cyber criminali, però, le informazioni disponibili tramite NFC si trasformano in un perfetto grimaldello che permette di sottrarre denaro dai conti delle ignare vittime.

Attraverso uno spregiudicato schema ispirato al “malware as a service”, il gruppo TX-NFC sfrutta questa particolare tecnica di clonazione delle carte di credito per intascare migliaia di euro. Nel mirino, secondo un report di Group IB, sono recentemente finite Italia, Spagna, Polonia e Germania.

Scacco matto in due mosse

La tecnica utilizzata dal malware realizzato da TX-NFC, come spiegato nel report di Group IB, poggia su due componenti fondamentali. Il primo è un software che consente di leggere i dati della carta di credito tramite NFC sul telefono della vittima.

La sua diffusione avviene tramite tecniche di ingegneria sociale, come lo smishing (phishing tramite messaggio – ndr) o il vishing, cioè il contatto diretto tramite chiamata telefonica. “Nella maggior parte dei casi, i cyber criminali si spacciano per impiegati dell’istituto di credito della potenziale vittima, inducendola a installare il malware facendo leva sulla necessità di aggiornare l’applicazione bancaria” spiega a Cybersecurity360 Anastasia Tikhonova, Global Threat Research Lead di Group IB. “In molti casi si appoggiano a siti di phishing che replicano esattamente quelli originali”.

Una volta installata l’app malevola, alla vittima viene richiesto di utilizzare la connessione contactless con la carta di credito per associare l’applicazione al suo account. In realtà, questa operazione permette al malware di esfiltrare una serie di informazioni dalla carta stessa. I dati recuperati in questo modo vengono trasmessi a un server Command and Control che li memorizza.

Ed è qui che entra in gioco la seconda applicazione che funziona come emulatore della carta di credito e permette ai pirati informatici di eseguire pagamenti tramite smartphone che verranno poi addebitati sul conto della vittima.

Una campagna difficile da contrastare

Una delle caratteristiche del gruppo TX-NFC è quello di operare attraverso uno schema di malware as a service, con caratteristiche diverse rispetto a quelle adottate normalmente dai gruppi specializzati i ransomware. Di solito, infatti, questi sistemi di cooperazione prevedono una forma di collaborazione fattuale nel corso degli attacchi e, in caso di successo, la partecipazione ai guadagni.

TX-NFC ha invece deciso di fornire il suo malware chiedendo il pagamento di una sorta di “abbonamento”, senza creare alcun vincolo operativo con gli affiliati. “Il contatto avviene prevalentemente tramite un canale Telegram – spiega Tikhonova – dal quale abbiamo anche potuto fare una stima del numero di partecipanti alla campagna. Dai messaggi presenti emerge che ci sarebbero circa 25.000 criminali che hanno sottoscritto il servizio”.

Un vero esercito di truffatori, che nella maggior parte dei casi operano individualmente o in piccolo gruppi adottando modus operandi e tecniche di attacco diverse. Una sorta di incubo per gli esperti di cyber security, dal momento che una simile frammentazione rende praticamente impossibile contrastare gli attacchi individuando, per esempio, le infrastrutture IT usate per portare gli attacchi.

A complicare ulteriormente le cose, c’è anche il fatto che i cyber criminali possono monetizzare l’attacco attraverso numerose tecniche. “Nelle nostre indagini abbiamo individuato strategie diverse” spiega Tikhonova. “Una di queste è quella di utilizzare dei POS nella disponibilità dei criminali, ma abbiamo anche registrato organizzazioni che si limitano a eseguire acquisti che vengono poi addebitati sul conto della vittima”. In uno dei casi citati nel rapporto, un singolo POS ha permesso ai truffatori di incassare pagamenti per oltre 300.000 euro.

Come sottolinea l’esperta di Group IB, il fenomeno non è nuovo ed è stato individuato già nel 2025. L’anno scorso, però, il malware veniva utilizzato prevalentemente in Asia e Medioriente. Adesso, invece, il giro si è allargato all’Europa e, in particolare, a Italia, Spagna, Polonia e Germania.

Il nodo dei controlli degli istituti di credito

Dal momento che il malware sviluppato da TX-NFC non sfrutta una vera e propria vulnerabilità e che la strategia adottata per il suo utilizzo permette loro di esporsi il meno possibile, le strategie per contrastare questo tipo di attacco possono fare leva soltanto sulla capacità di utenti e istituti di credito di individuare le transazioni malevole.

“Nella maggior parte dei casi i truffatori preferiscono sottrarre piccole somme di denaro, in modo che abbiano maggiori probabilità di passare inosservate” sottolinea Tikhonova. “In alcune versioni del malware, però, abbiamo individuato accorgimenti che mirano a offuscare le attività attraverso strumenti tecnologici”.

Nel dettaglio, l’esperta di Group IB cita la possibilità che l’applicazione malevola, oltre a sottrarre i dati della carta di credito, integri un sistema che è in grado di bloccare le notifiche dei pagamenti effettuati inviate tramite l’app bancaria legittima.

“Purtroppo molti utenti prestano scarsa attenzione ai permessi che vengono concessi alle applicazioni nel momento dell’installazione” prosegue. “I cyber criminali fanno leva su questo per coprire le loro attività”.

In assenza di una notifica, infatti, l’unico modo per accorgersi del problema sarebbe quello di controllare manualmente tutte le transazioni registrate sul conto.

Qualcosa che ben poche persone fanno abitualmente.

Ben più efficaci sono i controlli che, sempre più spesso, vengono eseguiti automaticamente dalle banche e che si basano sulle abitudini dei clienti, la geolocalizzazione delle transazioni e un’analisi degli orari in cui vengono effettuate.

“Se un utente effettua una transazione sospetta è possibile bloccarla. In questo scenario dobbiamo considerare questo tipo di controlli come l’unico strumento realmente efficace per bloccare il fenomeno”, conclude Anastasia Tikhonova.