Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Κακόβουλο λογισμικό PhantomCard Mobile

Κακόβουλο λογισμικό PhantomCard Mobile

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας ανακάλυψαν ένα νέο επικίνδυνο Android Trojan με το όνομα PhantomCard. Αυτό το εξελιγμένο κακόβουλο λογισμικό εκμεταλλεύεται την τεχνολογία επικοινωνίας κοντινού πεδίου (NFC) για να πραγματοποιεί επιθέσεις αναμετάδοσης, επιτρέποντας στους εγκληματίες να πραγματοποιούν δόλιες συναλλαγές ουσιαστικά «κλωνοποιώντας» τις τραπεζικές κάρτες των θυμάτων.

Πώς λειτουργεί η PhantomCard

Το PhantomCard λειτουργεί αναμεταδίδοντας δεδομένα NFC από την κάρτα ενός θύματος στη συσκευή ενός εγκληματία, επιτρέποντας στον εισβολέα να χρησιμοποιήσει την κάρτα σαν να την είχε στην κατοχή του. Ο σχεδιασμός του κακόβουλου λογισμικού βασίζεται σε κινεζικό λογισμικό αναμετάδοσης NFC malware-as-a-service, και συγκεκριμένα στην πλατφόρμα NFU Pay.

Η κακόβουλη εφαρμογή, μεταμφιεσμένη ως Proteção Cartões, διανέμεται μέσω ψεύτικων ιστοσελίδων του Google Play που μιμούνται νόμιμες υπηρεσίες προστασίας καρτών. Αυτές οι σελίδες εμπλουτίζονται με ψεύτικες θετικές κριτικές για την ενίσχυση της αξιοπιστίας. Ενώ η ακριβής μέθοδος διανομής παραμένει άγνωστη, πιθανότατα χρησιμοποιούνται τακτικές κοινωνικής μηχανικής ή άλλες παρόμοιες.

Μόλις εγκατασταθεί, η εφαρμογή ζητά από το θύμα να τοποθετήσει την πιστωτική ή χρεωστική του κάρτα στο πίσω μέρος του τηλεφώνου του για «επαλήθευση». Όταν η διεπαφή εμφανίσει την ένδειξη «Εντοπίστηκε κάρτα!», το κακόβουλο λογισμικό αρχίζει να μεταδίδει δεδομένα NFC σε έναν διακομιστή που ελέγχεται από απομακρυσμένο εισβολέα. Στη συνέχεια, η εφαρμογή ζητά από τον χρήστη να εισάγει το PIN του, το οποίο αποστέλλεται αμέσως στον εγκληματία για να εγκρίνει συναλλαγές σε πραγματικό κόσμο σε τερματικό PoS ή ΑΤΜ.

Ο ρόλος του μουλαριού στο σχέδιο

Από την πλευρά του εγκληματία, μια συσκευή mule εκτελεί μια αντίστοιχη εφαρμογή σχεδιασμένη να λαμβάνει τα κλεμμένα δεδομένα της κάρτας. Αυτή η ρύθμιση διασφαλίζει την ομαλή επικοινωνία μεταξύ του τερματικού PoS και της κάρτας του θύματος, επιτρέποντας ουσιαστικά στους εισβολείς να χρησιμοποιούν τα κλεμμένα διαπιστευτήρια σε πραγματικό χρόνο.

Ο προγραμματιστής κακόβουλου λογισμικού, γνωστός στο διαδίκτυο ως Go1ano, είναι διαβόητος στη Βραζιλία για την μεταπώληση απειλών Android. Οι ερευνητές σημειώνουν ότι το PhantomCard είναι ουσιαστικά μια ανασυσκευασμένη έκδοση της κινεζικής υπηρεσίας NFU Pay, η οποία προωθείται ανοιχτά στο Telegram. Ο προγραμματιστής ισχυρίζεται ότι το εργαλείο είναι παγκοσμίως λειτουργικό, εντελώς μη ανιχνεύσιμο και συμβατό με όλα τα συστήματα PoS με δυνατότητα NFC. Διαφημίζουν επίσης στενούς δεσμούς με άλλες οικογένειες κακόβουλου λογισμικού, συμπεριλαμβανομένων των BTMOB και GhostSpy.

Μέρος ενός αναπτυσσόμενου υπόγειου οικοσυστήματος απάτης NFC

Το NFU Pay είναι μόνο ένα από τα πολλά παράνομα εργαλεία αναμετάδοσης NFC στην αγορά, μαζί με ονόματα όπως SuperCard X, KingNFC και X/Z/TX-NFC. Η εξάπλωση αυτών των εργαλείων φέρνει νέους κινδύνους για τις περιφερειακές τράπεζες και τα χρηματοπιστωτικά ιδρύματα, επιτρέποντας σε παγκόσμιους παράγοντες απειλής να παρακάμπτουν τα γλωσσικά, πολιτιστικά και τεχνικά εμπόδια που προηγουμένως περιόριζαν τις επιθέσεις. Αυτή η επέκταση περιπλέκει σημαντικά την ανίχνευση και την πρόληψη της απάτης.

Νοτιοανατολική Ασία: Μια εστία εκμετάλλευσης του NFC

Οι ερευνητές προειδοποιούν ότι η Νοτιοανατολική Ασία έχει αναδειχθεί σε πεδίο δοκιμών για απάτες που βασίζονται στο NFC. Σε χώρες όπως οι Φιλιππίνες, η αύξηση των ανέπαφων πληρωμών και η επικράτηση των συναλλαγών χαμηλής αξίας που συχνά παρακάμπτουν τους ελέγχους PIN καθιστούν τέτοιες επιθέσεις ιδιαίτερα αποτελεσματικές.

Τα συνηθισμένα εργαλεία που επιτρέπουν την απάτη μέσω NFC περιλαμβάνουν:

  • Z-NFC και X-NFC – Γνωστά για την κλωνοποίηση και τη χρήση κλεμμένων δεδομένων καρτών σε συναλλαγές σε πραγματικό χρόνο.
  • SuperCard X και Track2NFC – Διατίθενται ευρέως σε φόρουμ του dark web και ιδιωτικές ομάδες συνομιλίας και επιτρέπουν σε εισβολείς να εκτελούν μη εξουσιοδοτημένες ανέπαφες πληρωμές.

Οι συναλλαγές από αυτές τις επιθέσεις συχνά φαίνονται νόμιμες, καθώς προέρχονται από συσκευές με έλεγχο ταυτότητας, γεγονός που καθιστά την ανίχνευση και την πρόληψη δύσκολη, ειδικά σε χρηματοοικονομικά συστήματα σε πραγματικό χρόνο.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
36,088
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...