Mobilní malware PhantomCard
Výzkumníci v oblasti kybernetické bezpečnosti odhalili nového nebezpečného trojského koně pro Android s názvem PhantomCard. Tento sofistikovaný malware využívá technologii NFC (Near Field Communication) k provádění útoků přes relé, což zločincům umožňuje provádět podvodné transakce virtuálním „klonováním“ bankovních karet obětí.
Obsah
Jak funguje PhantomCard
PhantomCard funguje tak, že přenáší NFC data z karty oběti do zařízení zločince, což útočníkovi umožňuje používat kartu, jako by ji fyzicky vlastnil. Malware je navržen na základě malwaru typu NFC relay malware jako služby, vyvinutého v Číně, konkrétně na platformě NFU Pay.
Škodlivá aplikace, maskovaná jako Proteção Cartões, je distribuována prostřednictvím falešných webových stránek Google Play, které napodobují legitimní služby ochrany karet. Tyto stránky jsou vylepšeny falešnými pozitivními recenzemi, aby se zvýšila důvěryhodnost. Přesný způsob distribuce zůstává neznámý, ale pravděpodobně se používá smishing nebo podobné taktiky sociálního inženýrství.
Po instalaci aplikace vyzve oběť k přiložení kreditní nebo debetní karty k zadní straně telefonu pro „ověření“. Když se na rozhraní zobrazí zpráva „Detekována karta!“, malware začne přenášet data NFC na vzdálený server ovládaný útočníkem. Aplikace poté požádá uživatele o zadání PINu, který je okamžitě odeslán zločinci k autorizaci reálných transakcí na pokladním terminálu nebo bankomatu.
Role muly v tomto schématu
Na straně zločince běží na zařízení typu „mule“ odpovídající aplikace určená k příjmu dat z ukradené karty. Toto nastavení zajišťuje bezproblémovou komunikaci mezi terminálem PoS a kartou oběti, což útočníkům efektivně umožňuje používat ukradené přihlašovací údaje v reálném čase.
Vývojář malwaru, online známý jako Go1ano, je v Brazílii nechvalně známý dalším prodejem hrozeb pro Android. Výzkumníci poznamenávají, že PhantomCard je v podstatě přepracovanou verzí čínské služby NFU Pay, která je otevřeně propagována na Telegramu. Vývojář tvrdí, že nástroj je globálně funkční, zcela nezjistitelný a kompatibilní se všemi systémy PoS s podporou NFC. Také propaguje úzké vazby na další rodiny malwaru, včetně BTMOB a GhostSpy.
Součást rostoucího podzemního ekosystému podvodů s NFC
NFU Pay je jen jedním z několika nelegálních nástrojů NFC na trhu, vedle názvů jako SuperCard X, KingNFC a X/Z/TX-NFC. Šíření těchto nástrojů přináší nová rizika pro regionální banky a finanční instituce, protože umožňuje globálním aktérům hrozeb obejít jazykové, kulturní a technické bariéry, které dříve útoky omezovaly. Toto rozšíření výrazně komplikuje odhalování a prevenci podvodů.
Jihovýchodní Asie: Líheň pro zneužívání NFC
Výzkumníci varují, že jihovýchodní Asie se stala testovacím polem pro podvody založené na NFC. V zemích, jako jsou Filipíny, je nárůst bezkontaktních plateb a rozšíření transakcí nízké hodnoty, které často obcházejí kontroly PIN kódu, což činí tyto útoky obzvláště efektivními.
Mezi běžné podzemní nástroje umožňující podvody s NFC patří:
- Z-NFC a X-NFC – Známé pro klonování a používání ukradených dat z karet v transakcích v reálném čase.
- SuperCard X a Track2NFC – Tyto karty jsou široce dostupné na fórech dark webu a v soukromých chatovacích skupinách a umožňují útočníkům provádět neoprávněné bezkontaktní platby.
Transakce z těchto útoků se často jeví jako legitimní a pocházejí z ověřených zařízení, což ztěžuje jejich detekci a prevenci, zejména ve finančních systémech v reálném čase.
