PhantomCard-mobiilihaittaohjelma
Kyberturvallisuustutkijat ovat paljastaneet vaarallisen uuden Android-troijalaisen nimeltä PhantomCard. Tämä hienostunut haittaohjelma hyödyntää lähikenttäviestintäteknologiaa (NFC) välityshyökkäysten suorittamiseen, joiden avulla rikolliset voivat tehdä vilpillisiä maksutapahtumia "kloonaamalla" uhrien pankkikortteja virtuaalisesti.
Sisällysluettelo
Miten PhantomCard toimii
PhantomCard toimii välittämällä NFC-tietoja uhrin kortista rikollisen laitteeseen, jolloin hyökkääjä voi käyttää korttia ikään kuin se olisi fyysisesti hänen hallussaan. Haittaohjelman suunnittelu perustuu Kiinassa kehitettyyn NFC-välityshaittaohjelmaan palveluna, erityisesti NFU Pay -alustaan.
Haitallinen sovellus, joka on naamioitu Proteção Cartõesiksi, leviää väärennettyjen Google Play -verkkosivujen kautta, jotka jäljittelevät laillisia korttien suojauspalveluita. Näitä sivuja on parannettu väärennetyillä positiivisilla arvosteluilla uskottavuuden lisäämiseksi. Vaikka tarkka levitystapa on tuntematon, käytetään todennäköisesti smishingiä tai vastaavia sosiaalisen manipuloinnin taktiikoita.
Asennuksen jälkeen sovellus kehottaa uhria asettamaan luotto- tai pankkikorttinsa puhelimensa takaosaan vahvistusta varten. Kun käyttöliittymässä näkyy teksti "Kortti havaittu!", haittaohjelma alkaa lähettää NFC-tietoja hyökkääjän hallitsemalle etäpalvelimelle. Sovellus pyytää sitten käyttäjää antamaan PIN-koodinsa, joka lähetetään välittömästi rikolliselle, jotta hän voi valtuuttaa reaalimaailman tapahtumia kassapäätteellä tai pankkiautomaatilla.
Muulin rooli järjestelmässä
Rikollisen puolella muulilaite suorittaa vastaavan sovelluksen, joka on suunniteltu vastaanottamaan varastetut korttitiedot. Tämä järjestely varmistaa sujuvan tiedonsiirron maksupäätteen ja uhrin kortin välillä, jolloin hyökkääjät voivat käyttää varastettuja tunnistetietoja reaaliajassa.
Haittaohjelmien kehittäjä, joka tunnetaan verkossa nimellä Go1ano, on tunnettu Brasiliassa Android-uhkien jälleenmyynnistä. Tutkijat huomauttavat, että PhantomCard on pohjimmiltaan uudelleenpakattu versio kiinalaisesta NFU Pay -palvelusta, jota mainostetaan avoimesti Telegramissa. Kehittäjä väittää työkalun toimivan maailmanlaajuisesti, olevan täysin havaitsematon ja yhteensopiva kaikkien NFC-yhteensopivien kassajärjestelmien kanssa. He mainostavat myös läheisiä yhteyksiä muihin haittaohjelmaperheisiin, kuten BTMOB:iin ja GhostSpy:hen.
Osa kasvavaa maanalaista NFC-petosten ekosysteemiä
NFU Pay on vain yksi useista markkinoilla olevista laittomista NFC-välitystyökaluista, kuten SuperCard X, KingNFC ja X/Z/TX-NFC. Näiden työkalujen leviäminen tuo uusia riskejä alueellisille pankeille ja rahoituslaitoksille mahdollistamalla globaalien uhkatoimijoiden ohittaa kieli-, kulttuuri- ja tekniset esteet, jotka aiemmin rajoittivat hyökkäyksiä. Tämä laajentuminen vaikeuttaa merkittävästi petosten havaitsemista ja ehkäisemistä.
Kaakkois-Aasia: NFC-teknologian hyödyntämisen keskus
Tutkijat varoittavat, että Kaakkois-Aasiasta on tullut NFC-pohjaisten petosten testialue. Filippiinien kaltaisissa maissa kontaktittomien maksujen lisääntyminen ja pienten maksutapahtumien yleisyys, jotka usein ohittavat PIN-kooditarkistukset, tekevät tällaisista hyökkäyksistä erityisen tehokkaita.
Yleisiä NFC-petoksia mahdollistavia maanalaisia työkaluja ovat:
- Z-NFC ja X-NFC – Tunnetaan varastettujen korttitietojen kloonaamisesta ja käyttämisestä reaaliaikaisissa tapahtumissa.
- SuperCard X ja Track2NFC – Näitä on laajalti saatavilla pimeän verkon foorumeilla ja yksityisissä keskusteluryhmissä, ja ne mahdollistavat hyökkääjien suorittaa luvattomia lähimaksuja.
Näistä hyökkäyksistä johtuvat tapahtumat näyttävät usein laillisilta ja peräisin todennetuista laitteista, mikä tekee havaitsemisesta ja estämisestä haastavaa, erityisesti reaaliaikaisissa rahoitusjärjestelmissä.
