PhantomCard mobiilne pahavara
Küberturvalisuse uurijad on avastanud uue ohtliku Androidi trooja nimega PhantomCard. See keerukas pahavara kasutab lähiväljaside (NFC) tehnoloogiat edastusrünnakute läbiviimiseks, võimaldades kurjategijatel teha petturlikke tehinguid ohvrite pangakaarte virtuaalselt "kloonides".
Sisukord
Kuidas PhantomCard töötab
PhantomCard toimib nii, et edastab NFC-andmeid ohvri kaardilt kurjategija seadmesse, võimaldades ründajal kaarti kasutada nii, nagu oleks see füüsiliselt tema valduses. Pahavara disain põhineb Hiinas väljatöötatud NFC-edastusteenusena pahavaral, täpsemalt NFU Pay platvormil.
Pahatahtlik rakendus, mis on maskeeritud nimeks Proteção Cartões, levitatakse võltsitud Google Play veebilehtede kaudu, mis jäljendavad legitiimseid kaardikaitseteenuseid. Usaldusväärsuse suurendamiseks on need lehed rikastatud võltspositiivsete arvustustega. Kuigi täpne levitamismeetod on teadmata, kasutatakse tõenäoliselt smishingut või sarnaseid sotsiaalse manipuleerimise taktikaid.
Pärast installimist palub rakendus ohvril asetada oma krediit- või deebetkaart telefoni tagaküljele „kinnitamiseks“. Kui liidesel kuvatakse teade „Kaart tuvastatud!“, hakkab pahavara edastama NFC-andmeid ründaja poolt kontrollitavale serverile. Seejärel palub rakendus kasutajal sisestada oma PIN-koodi, mis saadetakse kohe kurjategijale, et autoriseerida reaalseid tehinguid müügikohas või sularahaautomaadis.
Muula roll skeemis
Kurjategija poolel käitab ründaja seade vastavat rakendust, mis on loodud varastatud kaardiandmete vastuvõtmiseks. See seadistus tagab sujuva suhtluse PoS-terminali ja ohvri kaardi vahel, võimaldades ründajatel varastatud volitusi reaalajas kasutada.
Pahavara arendaja, keda tuntakse veebis nimega Go1ano, on Brasiilias kurikuulus Androidi ohtude edasimüümise poolest. Teadlased märgivad, et PhantomCard on sisuliselt Hiina NFU Pay teenuse ümberpakendatud versioon, mida Telegramis avalikult reklaamitakse. Arendaja väidab, et tööriist on globaalselt funktsionaalne, täiesti tuvastamatu ja ühildub kõigi NFC-toega PoS-süsteemidega. Samuti reklaamivad nad tihedaid sidemeid teiste pahavaraperekondadega, sealhulgas BTMOB ja GhostSpy.
Osa kasvavast maa-alusest NFC-pettuste ökosüsteemist
NFU Pay on vaid üks paljudest turul olevatest ebaseaduslikest NFC-edastusvahenditest, lisaks sellistele nimedele nagu SuperCard X, KingNFC ja X/Z/TX-NFC. Nende tööriistade levik toob piirkondlikele pankadele ja finantsasutustele uusi riske, võimaldades globaalsetel ohutegelastel mööda hiilida keelelistest, kultuurilistest ja tehnilistest barjääridest, mis varem piirasid rünnakuid. See laienemine raskendab oluliselt pettuste avastamist ja ennetamist.
Kagu-Aasia: NFC ärakasutamise tulipunkt
Teadlased hoiatavad, et Kagu-Aasiast on saanud NFC-põhiste pettuste katsepolügoon. Sellistes riikides nagu Filipiinid muudavad kontaktivabade maksete sagenemine ja väikese väärtusega tehingute levimus, mis sageli mööduvad PIN-koodi kontrollist, sellised rünnakud eriti tõhusaks.
Levinumad NFC-pettuseid võimaldavad salajased tööriistad on järgmised:
- Z-NFC ja X-NFC – tuntud varastatud kaardiandmete kloonimise ja reaalajas tehingutes kasutamise poolest.
- SuperCard X ja Track2NFC – Laialdaselt saadaval tumeveebi foorumites ja privaatsetes vestlusgruppides, mis võimaldavad ründajatel teha volitamata kontaktivabu makseid.
Nende rünnakute tehingud tunduvad sageli legitiimsed ja pärinevad autentitud seadmetest, mis muudab tuvastamise ja ennetamise keeruliseks, eriti reaalajas finantssüsteemides.
