PhantomCard mobilmalware
Cybersikkerhedsforskere har afdækket en farlig ny Android-trojaner ved navn PhantomCard. Denne sofistikerede malware udnytter NFC-teknologi (Near-Field Communication) til at udføre relæangreb, der gør det muligt for kriminelle at foretage svigagtige transaktioner ved virtuelt at "klone" ofrenes bankkort.
Indholdsfortegnelse
Sådan fungerer PhantomCard
PhantomCard fungerer ved at videresende NFC-data fra et offers kort til en kriminels enhed, hvilket giver angriberen mulighed for at bruge kortet, som om det var fysisk i deres besiddelse. Malwarens design er baseret på kinesisk udviklet NFC-relæ-malware-som-en-service, specifikt NFU Pay-platformen.
Den ondsindede app, forklædt som Proteção Cartões, distribueres via falske Google Play-websider, der imiterer legitime kortbeskyttelsestjenester. Disse sider er forbedret med falske positive anmeldelser for at øge troværdigheden. Selvom den nøjagtige distributionsmetode forbliver ukendt, anvendes der sandsynligvis smishing eller lignende social engineering-taktikker.
Når appen er installeret, beder den offeret om at placere sit kredit- eller betalingskort på bagsiden af telefonen for at få den bekræftet. Når brugergrænsefladen viser 'Kort fundet!', begynder malwaren at overføre NFC-data til en server, der kontrolleres af en angriber. Appen beder derefter brugeren om at indtaste sin pinkode, som straks sendes til den kriminelle for at godkende transaktioner i den virkelige verden ved en PoS-terminal eller hæveautomat.
Muldyrets rolle i ordningen
På den kriminelles side kører en muldyrsenhed en tilsvarende applikation, der er designet til at modtage de stjålne kortdata. Denne opsætning sikrer problemfri kommunikation mellem PoS-terminalen og offerets kort, hvilket effektivt gør det muligt for angribere at bruge de stjålne legitimationsoplysninger i realtid.
Malwareudvikleren, kendt online som Go1ano, er berygtet i Brasilien for at videresælge Android-trusler. Forskere bemærker, at PhantomCard i bund og grund er en ompakket version af den kinesiske NFU Pay-tjeneste, som åbent promoveres på Telegram. Udvikleren hævder, at værktøjet er globalt funktionelt, fuldstændig uopdageligt og kompatibelt med alle NFC-aktiverede PoS-systemer. De reklamerer også med tætte bånd til andre malwarefamilier, herunder BTMOB og GhostSpy.
En del af et voksende undergrundsøkosystem for NFC-svindel
NFU Pay er blot et af flere ulovlige NFC-relæværktøjer på markedet, sammen med navne som SuperCard X, KingNFC og X/Z/TX-NFC. Spredningen af disse værktøjer medfører nye risici for regionale banker og finansielle institutioner ved at gøre det muligt for globale trusselsaktører at omgå sproglige, kulturelle og tekniske barrierer, der tidligere begrænsede angreb. Denne udvidelse komplicerer afsløring og forebyggelse af svindel betydeligt.
Sydøstasien: Et arnested for NFC-udnyttelse
Forskere advarer om, at Sydøstasien er blevet et testområde for NFC-baseret svindel. I lande som Filippinerne gør stigningen i kontaktløse betalinger og udbredelsen af lavbeløbstransaktioner, der ofte omgår PIN-kontroller, sådanne angreb særligt effektive.
Almindelige undergrundsværktøjer, der muliggør NFC-svindel, inkluderer:
- Z-NFC og X-NFC – Kendt for kloning og brug af stjålne kortdata i realtidstransaktioner.
- SuperCard X og Track2NFC – Bredt tilgængelige i dark web-fora og private chatgrupper, giver disse angribere mulighed for at udføre uautoriserede kontaktløse betalinger.
Transaktionerne fra disse angreb virker ofte legitime, da de stammer fra autentificerede enheder, hvilket gør detektion og forebyggelse udfordrende, især i finansielle systemer i realtid.
