Programari maliciós per a mòbils de PhantomCard
Investigadors de ciberseguretat han descobert un nou i perillós troià d'Android anomenat PhantomCard. Aquest sofisticat programari maliciós explota la tecnologia de comunicació de camp proper (NFC) per dur a terme atacs de retransmissió, permetent als delinqüents realitzar transaccions fraudulentes "clonant" virtualment les targetes bancàries de les víctimes.
Taula de continguts
Com funciona PhantomCard
PhantomCard funciona transmetent dades NFC des de la targeta d'una víctima al dispositiu d'un delinqüent, permetent a l'atacant utilitzar la targeta com si fos físicament en la seva possessió. El disseny del programari maliciós es basa en el programari maliciós com a servei de retransmissió NFC desenvolupat a la Xina, concretament la plataforma NFU Pay.
L'aplicació maliciosa, disfressada de Protecção Cartões, es distribueix a través de pàgines web falses de Google Play que imiten serveis legítims de protecció de targetes. Aquestes pàgines s'enriqueixen amb ressenyes positives falses per augmentar la credibilitat. Tot i que el mètode exacte de distribució continua sent desconegut, és probable que s'utilitzin smishing o tàctiques similars d'enginyeria social.
Un cop instal·lada, l'aplicació demana a la víctima que col·loqui la seva targeta de crèdit o dèbit a la part posterior del telèfon per a la "verificació". Quan la interfície mostra "Targeta detectada!", el programari maliciós comença a transmetre dades NFC a un servidor remot controlat per un atacant. L'aplicació demana a l'usuari que introdueixi el seu PIN, que s'envia immediatament al delinqüent per autoritzar transaccions del món real en un terminal PoS o caixer automàtic.
El paper de la mula en el pla
Pel que fa al delinqüent, un dispositiu mule executa una aplicació corresponent dissenyada per rebre les dades de la targeta robada. Aquesta configuració garanteix una comunicació fluida entre el terminal PoS i la targeta de la víctima, cosa que permet als atacants utilitzar les credencials robades en temps real.
El desenvolupador de programari maliciós, conegut en línia com a Go1ano, és conegut al Brasil per revendre amenaces d'Android. Els investigadors assenyalen que PhantomCard és essencialment una versió reempaquetada del servei xinès NFU Pay, que es promociona obertament a Telegram. El desenvolupador afirma que l'eina és funcional globalment, completament indetectable i compatible amb tots els sistemes de punt de venda compatibles amb NFC. També anuncien vincles estrets amb altres famílies de programari maliciós, com ara BTMOB i GhostSpy.
Part d’un ecosistema creixent de frau NFC subterrani
NFU Pay és només una de les diverses eines de retransmissió NFC il·legals que hi ha al mercat, juntament amb noms com SuperCard X, KingNFC i X/Z/TX-NFC. La propagació d'aquestes eines comporta nous riscos per als bancs regionals i les institucions financeres, ja que permet als actors d'amenaces globals evitar les barreres lingüístiques, culturals i tècniques que abans limitaven els atacs. Aquesta expansió complica significativament la detecció i la prevenció del frau.
Sud-est asiàtic: un focus d’explotació de NFC
Els investigadors alerten que el sud-est asiàtic s'ha convertit en un camp de proves per al frau basat en NFC. En països com les Filipines, l'augment dels pagaments sense contacte i la prevalença de transaccions de baix valor que sovint eviten les comprovacions de PIN fan que aquests atacs siguin particularment efectius.
Les eines clandestines comunes que permeten el frau NFC inclouen:
- Z-NFC i X-NFC: conegudes per clonar i utilitzar dades de targetes robades en transaccions en temps real.
- SuperCard X i Track2NFC: àmpliament disponibles en fòrums de la dark web i grups de xat privats, permeten als atacants realitzar pagaments sense contacte no autoritzats.
Les transaccions d'aquests atacs sovint semblen legítimes, originades en dispositius autenticats, cosa que dificulta la detecció i la prevenció, especialment en sistemes financers en temps real.
