برنامج PhantomCard الخبيث للهواتف المحمولة

اكتشف باحثو الأمن السيبراني برنامجًا خبيثًا جديدًا وخطيرًا يُطلق عليه اسم PhantomCard، يستهدف أجهزة أندرويد. يستغل هذا البرنامج الخبيث المتطور تقنية الاتصال قريب المدى (NFC) لتنفيذ هجمات الترحيل، مما يُمكّن المجرمين من إجراء معاملات احتيالية عن طريق "استنساخ" البطاقات المصرفية للضحايا افتراضيًا.

كيف تعمل بطاقة فانتوم كارد

يعمل برنامج PhantomCard عن طريق نقل بيانات NFC من بطاقة الضحية إلى جهاز المجرم، مما يسمح للمهاجم باستخدام البطاقة كما لو كانت بحوزته. يعتمد تصميم البرنامج الخبيث على برنامج صيني لنقل بيانات NFC كخدمة، وتحديدًا منصة NFU Pay.

يُوزَّع التطبيق الخبيث، المُتخفِّي تحت اسم Proteção Cartões، عبر صفحات ويب مزيفة على Google Play تُقلِّد خدمات حماية البطاقات الأصلية. تُعزَّز هذه الصفحات بتقييمات إيجابية مزيفة لتعزيز المصداقية. وبينما لا تزال طريقة التوزيع الدقيقة غير معروفة، يُرجَّح استخدام أساليب الاحتيال عبر الرسائل النصية القصيرة أو أساليب الهندسة الاجتماعية المشابهة.

بمجرد تثبيت التطبيق، يطلب من الضحية وضع بطاقة الائتمان أو الخصم على ظهر هاتفه للتحقق. عندما تظهر رسالة "تم اكتشاف البطاقة!" على الشاشة، يبدأ البرنامج الخبيث بإرسال بيانات NFC إلى خادم يتحكم به المهاجم عن بُعد. ثم يطلب التطبيق من المستخدم إدخال رقم التعريف الشخصي (PIN)، والذي يُرسل فورًا إلى المجرم لإتمام المعاملات الفعلية في نقاط البيع أو أجهزة الصراف الآلي.

دور البغل في المخطط

من جانب المجرم، يُشغّل جهازٌ مُزوّر تطبيقًا مُصمّمًا لاستقبال بيانات البطاقة المسروقة. يضمن هذا الإعداد اتصالًا سلسًا بين جهاز نقطة البيع وبطاقة الضحية، مما يُمكّن المهاجمين من استخدام بيانات الاعتماد المسروقة آنيًا.

مطوّر البرامج الضارة، المعروف على الإنترنت باسم Go1ano، معروف في البرازيل بإعادة بيع تهديدات أندرويد. ويشير الباحثون إلى أن PhantomCard هو في الأساس نسخة مُعاد تجميعها من خدمة NFU Pay الصينية، التي يُروّج لها علنًا على تيليجرام. ويدّعي المطوّر أن الأداة تعمل عالميًا، وغير قابلة للكشف تمامًا، ومتوافقة مع جميع أنظمة نقاط البيع (PoS) المزوّدة بتقنية NFC. كما يُعلن عن علاقات وثيقة مع عائلات أخرى من البرامج الضارة، بما في ذلك BTMOB وGhostSpy.

جزء من نظام بيئي متنامٍ للاحتيال عبر تقنية الاتصال قريب المدى (NFC)

يُعدّ NFU Pay واحدًا من بين العديد من أدوات نقل NFC غير القانونية المتاحة في السوق، إلى جانب أسماء مثل SuperCard X وKingNFC وX/Z/TX-NFC. يُشكّل انتشار هذه الأدوات مخاطر جديدة على البنوك والمؤسسات المالية الإقليمية، إذ يُمكّن الجهات الفاعلة العالمية من تجاوز الحواجز اللغوية والثقافية والتقنية التي كانت تُعيق الهجمات سابقًا. يُعقّد هذا التوسع بشكل كبير عملية الكشف عن الاحتيال ومنعه.

جنوب شرق آسيا: حاضنة لاستغلال تقنية الاتصال قريب المدى

يحذر الباحثون من أن جنوب شرق آسيا أصبح ساحة اختبار لعمليات الاحتيال القائمة على تقنية الاتصال قريب المدى (NFC). في دول مثل الفلبين، يُسهم ازدياد المدفوعات غير التلامسية وانتشار المعاملات منخفضة القيمة التي غالبًا ما تتجاوز التحقق من رقم التعريف الشخصي (PIN) في جعل هذه الهجمات فعّالة للغاية.

تتضمن الأدوات السرية الشائعة التي تتيح الاحتيال عبر تقنية الاتصال قريب المدى ما يلي:

• Z-NFC وX-NFC – معروفان بقدرتهما على استنساخ واستخدام بيانات البطاقات المسروقة في المعاملات في الوقت الفعلي.
• SuperCard X و Track2NFC – متوفرة على نطاق واسع في منتديات الويب المظلم ومجموعات الدردشة الخاصة، وهي تسمح للمهاجمين بإجراء مدفوعات غير تلامسية غير مصرح بها.

غالبًا ما تبدو المعاملات الناتجة عن هذه الهجمات مشروعة، حيث تنشأ من أجهزة موثوقة، مما يجعل الكشف عنها والوقاية منها أمرًا صعبًا، خاصة في الأنظمة المالية في الوقت الفعلي.