Zlonamjerni softver za mobilne uređaje PhantomCard
Istraživači kibernetičke sigurnosti otkrili su opasni novi Android trojanac pod nazivom PhantomCard. Ovaj sofisticirani zlonamjerni softver iskorištava tehnologiju komunikacije bliskog polja (NFC) za izvođenje relejnih napada, omogućujući kriminalcima da obavljaju lažne transakcije virtualnim "kloniranjem" bankovnih kartica žrtava.
Sadržaj
Kako funkcionira PhantomCard
PhantomCard radi tako da prenosi NFC podatke s kartice žrtve na uređaj kriminalca, omogućujući napadaču da koristi karticu kao da je fizički u njegovom posjedu. Dizajn zlonamjernog softvera temelji se na kineskom NFC relay zlonamjernom softveru kao usluzi, točnije na platformi NFU Pay.
Zlonamjerna aplikacija, prikrivena kao Proteção Cartões, distribuira se putem lažnih web stranica Google Playa koje oponašaju legitimne usluge zaštite kartica. Ove stranice su obogaćene lažnim pozitivnim recenzijama kako bi se povećala vjerodostojnost. Iako točna metoda distribucije ostaje nepoznata, vjerojatno se koristi smishing ili slične taktike socijalnog inženjeringa.
Nakon instalacije, aplikacija potiče žrtvu da prisloni svoju kreditnu ili debitnu karticu na stražnju stranu telefona radi 'provjere'. Kada se na sučelju prikaže 'Otkrivena kartica!', zlonamjerni softver počinje prenositi NFC podatke na udaljeni poslužitelj kojim upravlja napadač. Aplikacija zatim traži od korisnika da unese svoj PIN, koji se odmah šalje kriminalcu kako bi se autorizirale transakcije u stvarnom svijetu na PoS terminalu ili bankomatu.
Uloga mazge u shemi
Na strani kriminalca, uređaj za prevaru pokreće odgovarajuću aplikaciju dizajniranu za primanje ukradenih podataka s kartice. Ova postavka osigurava nesmetanu komunikaciju između PoS terminala i kartice žrtve, učinkovito omogućujući napadačima korištenje ukradenih podataka u stvarnom vremenu.
Razvojni programer zlonamjernog softvera, poznat na internetu kao Go1ano, poznat je u Brazilu po preprodaji Android prijetnji. Istraživači napominju da je PhantomCard u biti prepakirana verzija kineske NFU Pay usluge, koja se otvoreno promovira na Telegramu. Razvojni programer tvrdi da je alat globalno funkcionalan, potpuno neotkriven i kompatibilan sa svim NFC-omogućenim PoS sustavima. Također oglašavaju bliske veze s drugim obiteljima zlonamjernog softvera, uključujući BTMOB i GhostSpy.
Dio rastućeg podzemnog ekosustava NFC prijevara
NFU Pay je samo jedan od nekoliko ilegalnih NFC alata za prijenos podataka na tržištu, uz imena poput SuperCard X, KingNFC i X/Z/TX-NFC. Širenje ovih alata donosi nove rizike regionalnim bankama i financijskim institucijama omogućujući globalnim akterima prijetnji da zaobiđu jezične, kulturne i tehničke barijere koje su prije ograničavale napade. Ovo širenje značajno komplicira otkrivanje i sprječavanje prijevara.
Jugoistočna Azija: Žarište za iskorištavanje NFC-a
Istraživači upozoravaju da se jugoistočna Azija pojavila kao poligon za prijevare temeljene na NFC-u. U zemljama poput Filipina, porast beskontaktnih plaćanja i rasprostranjenost transakcija male vrijednosti koje često zaobilaze provjere PIN-a čine takve napade posebno učinkovitima.
Uobičajeni podzemni alati koji omogućuju NFC prijevaru uključuju:
- Z-NFC i X-NFC – Poznati po kloniranju i korištenju ukradenih podataka s kartica u transakcijama u stvarnom vremenu.
- SuperCard X i Track2NFC – Široko dostupni na forumima dark weba i privatnim grupama za chat, omogućuju napadačima neovlašteno beskontaktno plaćanje.
Transakcije iz ovih napada često se čine legitimnima, potječući s autentificiranih uređaja, što otežava otkrivanje i sprječavanje, posebno u financijskim sustavima u stvarnom vremenu.
