Зловреден софтуер за мобилни устройства PhantomCard
Изследователи по киберсигурност откриха опасен нов троянски вирус за Android, наречен PhantomCard. Този сложен зловреден софтуер използва технологията за комуникация в близко поле (NFC), за да извършва релейни атаки, позволявайки на престъпниците да извършват измамни транзакции, като виртуално „клонират“ банковите карти на жертвите.
Съдържание
Как работи PhantomCard
PhantomCard работи чрез препредаване на NFC данни от картата на жертвата към устройството на престъпника, което позволява на нападателя да използва картата, сякаш тя е физически негово притежание. Дизайнът на зловредния софтуер е базиран на разработен в Китай NFC relay зловреден софтуер като услуга, по-специално платформата NFU Pay.
Злонамереното приложение, маскирано като Proteção Cartões, се разпространява чрез фалшиви уеб страници в Google Play, които имитират легитимни услуги за защита на карти. Тези страници са обогатени с фалшиви положителни отзиви, за да се повиши доверието. Въпреки че точният метод на разпространение остава неизвестен, вероятно се използва smishing или подобни тактики за социално инженерство.
След като бъде инсталирано, приложението подканва жертвата да постави кредитната или дебитната си карта на гърба на телефона си за „проверка“. Когато интерфейсът покаже „Открита е карта!“, зловредният софтуер започва да предава NFC данни към отдалечен сървър, контролиран от нападателя. След това приложението иска от потребителя да въведе своя ПИН код, който незабавно се изпраща на престъпника, за да се оторизират реални транзакции на PoS терминал или банкомат.
Ролята на мулето в схемата
От страна на престъпника, устройство тип „муле“ изпълнява съответно приложение, предназначено за получаване на данни от откраднатата карта. Тази настройка осигурява безпроблемна комуникация между PoS терминала и картата на жертвата, като ефективно дава възможност на нападателите да използват откраднатите идентификационни данни в реално време.
Разработчикът на зловреден софтуер, известен онлайн като Go1ano, е известен в Бразилия с препродажбата на заплахи за Android. Изследователите отбелязват, че PhantomCard е по същество препакетирана версия на китайската услуга NFU Pay, която открито се рекламира в Telegram. Разработчикът твърди, че инструментът е глобално функционален, напълно неоткриваем и съвместим с всички PoS системи с активиран NFC. Те също така рекламират тесни връзки с други семейства зловреден софтуер, включително BTMOB и GhostSpy.
Част от разрастваща се подземна екосистема за измами с NFC
NFU Pay е само един от няколкото незаконни NFC инструменти за реле на пазара, наред с имена като SuperCard X, KingNFC и X/Z/TX-NFC. Разпространението на тези инструменти носи нови рискове за регионалните банки и финансови институции, като позволява на глобалните злонамерени лица да заобикалят езикови, културни и технически бариери, които преди това ограничаваха атаките. Това разширяване значително усложнява откриването и предотвратяването на измами.
Югоизточна Азия: Развъдник на експлоатацията на NFC
Изследователите предупреждават, че Югоизточна Азия се е превърнала в поле за изпитание на измами, базирани на NFC. В страни като Филипините, нарастването на безконтактните плащания и разпространението на транзакции с ниска стойност, които често заобикалят проверките с ПИН, правят подобни атаки особено ефективни.
Често срещани подземни инструменти, позволяващи NFC измами, включват:
- Z-NFC и X-NFC – Известни с клонирането и използването на откраднати данни от карти в транзакции в реално време.
- SuperCard X и Track2NFC – Широко достъпни във форуми на тъмната мрежа и частни чат групи, те позволяват на нападателите да извършват неоторизирани безконтактни плащания.
Транзакциите от тези атаки често изглеждат легитимни, произхождащи от удостоверени устройства, което прави откриването и предотвратяването им трудни, особено във финансови системи в реално време.
