بدافزار موبایل PhantomCard

محققان امنیت سایبری یک تروجان خطرناک جدید اندرویدی به نام PhantomCard را کشف کرده‌اند. این بدافزار پیچیده از فناوری ارتباط نزدیک (NFC) برای انجام حملات رله سوءاستفاده می‌کند و مجرمان را قادر می‌سازد تا با شبیه‌سازی مجازی کارت‌های بانکی قربانیان، تراکنش‌های جعلی انجام دهند.

نحوه عملکرد فانتوم‌کارت

PhantomCard با ارسال داده‌های NFC از کارت قربانی به دستگاه مجرم کار می‌کند و به مهاجم اجازه می‌دهد از کارت طوری استفاده کند که انگار کارت به صورت فیزیکی در اختیار اوست. طراحی این بدافزار بر اساس بدافزار NFC relay-as-a-service توسعه‌یافته توسط چینی‌ها، به ویژه پلتفرم NFU Pay، است.

این برنامه مخرب که خود را به عنوان Proteção Cartões جا زده است، از طریق صفحات وب جعلی گوگل پلی که از سرویس‌های معتبر حفاظت از کارت تقلید می‌کنند، توزیع می‌شود. این صفحات با نظرات مثبت جعلی برای افزایش اعتبار، تقویت می‌شوند. در حالی که روش دقیق توزیع هنوز ناشناخته است، احتمالاً از smishing یا تاکتیک‌های مهندسی اجتماعی مشابه استفاده می‌شود.

پس از نصب، برنامه از قربانی می‌خواهد که کارت اعتباری یا نقدی خود را برای «تأیید» در پشت تلفن خود قرار دهد. هنگامی که رابط کاربری عبارت «کارت شناسایی شد!» را نمایش می‌دهد، بدافزار شروع به انتقال داده‌های NFC به یک سرور کنترل‌شده توسط مهاجم از راه دور می‌کند. سپس برنامه از کاربر می‌خواهد که پین خود را وارد کند، که بلافاصله برای تأیید تراکنش‌های دنیای واقعی در یک پایانه فروش (POS) یا خودپرداز برای مجرم ارسال می‌شود.

نقش قاطر در این طرح

از طرف مجرم، یک دستگاه قاچاقچی، برنامه‌ی مربوطه را که برای دریافت اطلاعات کارت دزدیده شده طراحی شده است، اجرا می‌کند. این تنظیمات، ارتباط روان بین پایانه‌ی فروش (PoS) و کارت قربانی را تضمین می‌کند و عملاً به مهاجمان امکان می‌دهد تا از اعتبارنامه‌های دزدیده شده در لحظه استفاده کنند.

این توسعه‌دهنده بدافزار که با نام Go1ano شناخته می‌شود، در برزیل به دلیل فروش مجدد تهدیدات اندرویدی بدنام است. محققان خاطرنشان می‌کنند که PhantomCard اساساً نسخه‌ای بسته‌بندی‌شده از سرویس چینی NFU Pay است که آشکارا در تلگرام تبلیغ می‌شود. این توسعه‌دهنده ادعا می‌کند که این ابزار در سطح جهانی کاربردی، کاملاً غیرقابل شناسایی و سازگار با تمام سیستم‌های PoS دارای NFC است. آنها همچنین روابط نزدیکی با سایر خانواده‌های بدافزار، از جمله BTMOB و GhostSpy، تبلیغ می‌کنند.

بخشی از یک اکوسیستم کلاهبرداری NFC زیرزمینی رو به رشد

NFU Pay تنها یکی از چندین ابزار رله NFC غیرقانونی موجود در بازار است، در کنار نام‌هایی مانند SuperCard X، KingNFC و X/Z/TX-NFC. گسترش این ابزارها با فراهم کردن امکان عبور بازیگران تهدید جهانی از موانع زبانی، فرهنگی و فنی که قبلاً حملات را محدود می‌کردند، خطرات جدیدی را برای بانک‌ها و مؤسسات مالی منطقه‌ای به همراه دارد. این گسترش، تشخیص و پیشگیری از کلاهبرداری را به طور قابل توجهی پیچیده می‌کند.

آسیای جنوب شرقی: بستری برای سوءاستفاده از NFC

محققان هشدار می‌دهند که آسیای جنوب شرقی به عنوان بستری برای آزمایش کلاهبرداری مبتنی بر NFC ظهور کرده است. در کشورهایی مانند فیلیپین، افزایش پرداخت‌های بدون تماس و رواج تراکنش‌های کم‌ارزش که اغلب از بررسی پین عبور می‌کنند، چنین حملاتی را به طور ویژه مؤثر می‌کند.

ابزارهای زیرزمینی رایج که امکان کلاهبرداری NFC را فراهم می‌کنند عبارتند از:

• Z-NFC و X-NFC - به خاطر شبیه‌سازی و استفاده از داده‌های کارت‌های دزدیده شده در تراکنش‌های بلادرنگ شناخته می‌شوند.
• SuperCard X و Track2NFC - این موارد که به طور گسترده در انجمن‌های وب تاریک و گروه‌های چت خصوصی موجود هستند، به مهاجمان اجازه می‌دهند پرداخت‌های بدون تماس غیرمجاز انجام دهند.

تراکنش‌های حاصل از این حملات اغلب قانونی به نظر می‌رسند و از دستگاه‌های احراز هویت شده نشأت می‌گیرند، که تشخیص و پیشگیری از آنها را، به ویژه در سیستم‌های مالی بلادرنگ، چالش برانگیز می‌کند.