PhantomCard mobil kártevő

Kiberbiztonsági kutatók lelepleztek egy veszélyes új Android trójai vírust, a PhantomCardot. Ez a kifinomult rosszindulatú program a közeli hatótávolságú kommunikációs (NFC) technológiát használja ki továbbító támadások végrehajtásához, lehetővé téve a bűnözők számára, hogy csalárd tranzakciókat hajtsanak végre az áldozatok bankkártyáinak virtuális „klónozásával”.

Hogyan működik a PhantomCard?

A PhantomCard úgy működik, hogy NFC-adatokat továbbít az áldozat kártyájáról a bűnöző eszközére, lehetővé téve a támadó számára, hogy úgy használja a kártyát, mintha az fizikailag a birtokában lenne. A rosszindulatú program felépítése a kínai fejlesztésű NFC-továbbító rosszindulatú program szolgáltatásként való alkalmazásán alapul, konkrétan az NFU Pay platformon.

A Proteção Cartões álcájának álcázott kártékony alkalmazás hamis Google Play weboldalakon keresztül terjed, amelyek legitim kártyavédelmi szolgáltatásokat utánoznak. Ezeket az oldalakat hamis pozitív véleményekkel egészítik ki a hitelesség növelése érdekében. Bár a pontos terjesztési módszer továbbra sem ismert, valószínűleg smishing vagy hasonló pszichológiai manipulációs taktikákat alkalmaznak.

A telepítés után az alkalmazás arra kéri az áldozatot, hogy helyezze hitel- vagy bankkártyáját a telefonja hátuljára az „ellenőrzés” érdekében. Amikor a felületen megjelenik a „Kártya észlelve!” üzenet, a rosszindulatú program NFC-adatokat kezd küldeni egy távoli, támadó által vezérelt szerverre. Az alkalmazás ezután arra kéri a felhasználót, hogy adja meg PIN-kódját, amelyet azonnal elküld a bűnözőnek, hogy valós tranzakciókat engedélyezzen egy POS-terminálon vagy ATM-en.

Az öszvér szerepe a rendszerben

A bűnöző oldalán egy öszvéreszköz futtat egy megfelelő alkalmazást, amely az ellopott kártyaadatok fogadására szolgál. Ez a beállítás biztosítja a zökkenőmentes kommunikációt a PoS terminál és az áldozat kártyája között, lehetővé téve a támadók számára, hogy valós időben használják az ellopott hitelesítő adatokat.

Az online Go1ano néven ismert kártevő fejlesztő Brazíliában hírhedt az Android-fenyegetések viszonteladásáról. A kutatók megjegyzik, hogy a PhantomCard lényegében a kínai NFU Pay szolgáltatás újracsomagolt változata, amelyet nyíltan reklámoznak a Telegramon. A fejlesztő azt állítja, hogy az eszköz globálisan működőképes, teljesen észrevehetetlen, és kompatibilis az összes NFC-képes PoS-rendszerrel. Szoros kapcsolatot hirdetnek más kártevőcsaládokkal is, köztük a BTMOB-bal és a GhostSpy-val.

Egy növekvő földalatti NFC-csalási ökoszisztéma része

Az NFU Pay csak egy a piacon kapható illegális NFC-továbbító eszközök közül, olyan nevek mellett, mint a SuperCard X, a KingNFC és az X/Z/TX-NFC. Ezen eszközök elterjedése új kockázatokat jelent a regionális bankok és pénzügyi intézmények számára, mivel lehetővé teszi a globális fenyegetések szereplői számára, hogy megkerüljék a nyelvi, kulturális és technikai akadályokat, amelyek korábban korlátozták a támadásokat. Ez a bővülés jelentősen bonyolítja a csalások felderítését és megelőzését.

Délkelet-Ázsia: Az NFC-kizsákmányolás melegágya

A kutatók arra figyelmeztetnek, hogy Délkelet-Ázsia az NFC-alapú csalások kísérleti terepévé vált. Az olyan országokban, mint a Fülöp-szigetek, az érintésmentes fizetések térnyerése és az alacsony értékű, gyakran PIN-ellenőrzést megkerülő tranzakciók elterjedtsége különösen hatékonnyá teszi az ilyen támadásokat.

Az NFC-csalásokat lehetővé tevő gyakori illegális eszközök a következők:

• Z-NFC és X-NFC – Ismert arról, hogy klónozza és valós idejű tranzakciókban használja az ellopott kártyaadatokat.
• SuperCard X és Track2NFC – Széles körben elérhetők a dark web fórumokon és privát csevegőcsoportokban, lehetővé téve a támadók számára jogosulatlan érintésmentes fizetések végrehajtását.

Az ilyen támadásokból származó tranzakciók gyakran legitimnek tűnnek, hitelesített eszközökről származnak, ami megnehezíti a felderítést és a megelőzést, különösen a valós idejű pénzügyi rendszerekben.