SuperCard X: il malware Android che clona carte via NFC

Analisi tecnica di SuperCard X, il nuovo malware Android che sfrutta l’NFC per clonare carte virtuali. Italia tra i primi Paesi colpiti.

La comodità dei pagamenti contactless ha rivoluzionato il nostro rapporto con la tecnologia. Basta avvicinare lo smartphone a un POS e la transazione è completata. La sua immediatezza ha finito per trasformare il gesto in una routine del tutto automatica. Ma è qui che nasce il problema, perché quando qualcosa diventa troppo familiare, finiamo inesorabilmente per abbassare la guardia.

Da alcuni anni a questa parte, la minaccia non si presenta più solo come link sospetto, o allegato malevolo. Assume la forma di una schermata che siamo abituati a riconoscere, qualcosa che automaticamente associamo a un’app legittima. Quando poi il nostro dispositivo diviene il ponte tra un utente inconsapevole e una rete criminale ben organizzata, allora l’impatto ha ripercussioni devastanti.

Cos’è SuperCard X?
Modalità di attacco di SuperCard X
Impatto e diffusione
Best practices contro SuperCard X

Sul finire di aprile 2025 una nuova minaccia è apparsa nel panorama Android. Un pericolo che sfrutta proprio questa nostra fiducia in qualcosa di familiare, al fine di compromettere transazioni e clonare carte virtuali. Il suo nome? SuperCard X.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Cos’è SuperCard X?

Emersa negli ultimi giorni di aprile 2025, SuperCard X è una piattaforma Malware-as-a-Service (MaaS) che prende di mira i dispositivi Android. Associata a gruppi cybercriminali cinesi, questa è progettata per intercettare e ritrasmettere le comunicazioni NFC (Near Field Communication) tra una carta di pagamento e un terminale POS o ATM. Grazie a un’architettura modulare, SuperCard X è capace di adattarsi a diversi contesti di attacco e di realizzare transazioni fraudolenti a distanza.

L’Italia è stata tra i principali Paesi presi di mira da SuperCard X. La distribuzione nella nostra nazione è avvenuta attraverso campagne di smishing e TOAD (Telephone-Oriented Attack Delivery). Gli utenti ricevevano messaggi contenenti link a presunte app bancarie, che simulavano in tutto e per tutto le interfacce reali. Una volta installato il malware, l’utente concedeva inconsapevolmente i permessi necessari all’accesso NFC.

Ciò che rende la piattaforma molto pericolosa, è la sua capacità di operare senza destare sospetti. Infatti, il suo malware non presenta alcuna icona visibile, né alcuna interazione esplicita. Rimane costantemente attivo in background, stabilisce una connessione con i server C2 (Command & Control) gestiti dai cybercriminali e attende il momento più adatto ad attivarsi. La frode, la sottrazione delle credenziali e la clonazione delle carte virtuali avvengono nel più totale silenzio, sfruttando in toto non solo la trasparenza di Android, ma soprattutto la fiducia dell’utente.

Modalità di attacco di SuperCard X

Una volta attivato sul dispositivo infetto, SuperCard X si integra nel sistema operativo come un vero e proprio componente. Nel momento in cui ottiene i permessi NFC, il malware si avvia come servizio persistente, attivabile anche dopo un riavvio di sistema. Sfruttando le API di Android, intercetta i segnali NFC in uscita dal Secure Element e ne duplica i metadati critici. Ciò gli permette di clonare in maniera diretta una carta virtuale salvata nello smartphone, nel momento in cui l’utente legittimo la impiega in una transazione contactless. Questi dati vengono immediatamente inoltrati al server C2 controllato dagli attori malevoli, che a sua volta li ridistribuisce su una seconda app.

La struttura dell’attacco prevede l’impiego coordinato di due dispositivi, detti rispettivamente Reader e Tapper. Il primo riceve il segnale NFC dalla carta della vittima, mentre il secondo, grazie alla connessione diretta con il server C2, lo emula in tempo reale su un POS o ATM. In tal modo, si simula la presenza fisica della carta originale. Tutto l’attacco sfrutta un canale cifrato, al fine di garantire sia la rapidità necessaria, che una perfetta sincronia.

Tale schema permette di effettuare transazioni fraudolente a distanza, senza mai violare fisicamente il dispositivo della vittima. Questo perché SuperCard X sfrutta l’inerzia dei sistemi NFC, i tempi di risposta minimi e l’assenza di controlli comportamentali avanzati nei terminali di pagamento. In questo modo, i criminali riescono a orchestrare un attacco relay distribuito in maniera molto precisa e con un bassissimo rischio operativo.

Impatto e diffusione

SuperCard X è stato rilevato per la prima volta in Italia tra il 26 e il 30 aprile 2025, con segnalazioni provenienti da diversi istituti bancari coinvolti in campagne di smishing su larga scala. I messaggi simulavano comunicazioni urgenti relative alla sicurezza dei conti, invitando gli utenti a installare aggiornamenti fittizi delle app ufficiali. La distribuzione è avvenuta principalmente tramite URL mascherati, registrati su domini temporanei e collegati a infrastrutture C2 già impiegate in precedenti operazioni di phishing.

A ciò si è aggiunta l’identificazione di pacchetti APK diversi per ogni istituto bancario impersonato, con interfacce localizzate e stringhe linguistiche italiane perfettamente integrate. Questo ha reso l’inganno estremamente efficace, aumentando la percentuale di installazioni riuscite. In molti casi, le segnalazioni alle banche sono arrivate solo a seguito dell’effettivo furto dei fondi.

Alla data di pubblicazione di questo articolo, il codice di SuperCard X risulta già in circolazione in ambienti MaaS accessibili su forum del dark web e canali Telegram, con segnalazioni in aumento anche da Germania, Austria e Croazia. La sua natura modulare e l’assenza di indicatori di compromissione rilevabili dai normali antivirus, lo rendono una minaccia destinata a espandersi nel medio termine.

Best practices contro SuperCard X e derivati

La natura subdola e invisibile del malware richiede l’impiego di misure difensive adeguate, poiché la semplice prudenza non è più sufficiente. Di seguito, sono riportati una serie di consigli e azioni fondamentali da adottare per ridurre drasticamente il rischio di infezione e compromissione.

Disabilitare l’NFC quando non utilizzato.
L’interfaccia NFC deve restare attiva solo per il tempo necessario alla transazione. Lasciarla abilitata espone il dispositivo a eventuali attacchi relay senza che l’utente se ne accorga.
Non installare app da link ricevuti via SMS, o e-mail.
Nessuna banca autentica invia link diretti per installare o aggiornare applicazioni. In caso di dubbio, l’unico canale sicuro è lo store ufficiale.
Utilizzare soluzioni di sicurezza con funzioni anti-MaaS.
Antivirus professionali per Android, come Sophos Intercept X, integrano moduli capaci di rilevare comportamenti anomali legati a malware distribuiti come servizio.
Bloccare l’installazione da origini sconosciute.
Questa impostazione, spesso disattivata per errore, è la barriera primaria contro l’installazione di APK malevoli al di fuori delle protezioni e dei controlli del Google Play Store.
Monitorare regolarmente le transazioni e impostare le notifiche istantanee.
Mediante l’attivazione di alert bancari in tempo reale, è possibile reagire immediatamente in caso di transazioni sospette.

In conclusione

In base a quanto discusso, il nuovo malware è una delle evoluzioni più insidiose del crimine informatico mobile. La sua capacità di sfruttare funzioni legittime del sistema operativo, unite a una strategia di distribuzione estremamente mirata, dimostra come i dispositivi Android siano diventati un bersaglio di alto valore per i gruppi cybercriminali. Questo è ulteriormente rafforzato dal fatto che l’attacco non è più diretto al sistema, ma alla percezione di sicurezza dell’utente, che diventa la prima e più vulnerabile linea di difesa.

Per questo è fondamentale non fidarsi mai delle app che sembrano familiari. Non si deve abbassare la guardia solo perché tutto “sembra funzionare”. Oggi il vero impatto non si vede, ma lo si scopre solo quando è troppo tardi.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.