Malware mobile PhantomCard
I ricercatori di sicurezza informatica hanno scoperto un nuovo e pericoloso trojan per Android chiamato PhantomCard. Questo sofisticato malware sfrutta la tecnologia NFC (Near Field Communication) per effettuare attacchi relay, consentendo ai criminali di effettuare transazioni fraudolente "clonando" virtualmente le carte bancarie delle vittime.
Sommario
Come funziona PhantomCard
PhantomCard funziona trasmettendo i dati NFC dalla carta della vittima al dispositivo del criminale, consentendo all'aggressore di utilizzare la carta come se fosse fisicamente in suo possesso. Il malware è progettato sulla base di un malware-as-a-service basato sulla tecnologia NFC relay sviluppata in Cina, in particolare sulla piattaforma NFU Pay.
L'app dannosa, mascherata da Proteção Cartões, viene distribuita attraverso false pagine web di Google Play che imitano servizi legittimi di protezione delle carte di credito. Queste pagine sono arricchite con false recensioni positive per aumentare la credibilità. Sebbene il metodo di distribuzione esatto rimanga sconosciuto, è probabile che vengano utilizzate tattiche di smishing o simili tecniche di ingegneria sociale.
Una volta installata, l'app chiede alla vittima di posizionare la propria carta di credito o di debito sul retro del telefono per la "verifica". Quando l'interfaccia visualizza "Carta rilevata!", il malware inizia a trasmettere i dati NFC a un server remoto controllato dall'aggressore. L'app chiede quindi all'utente di inserire il PIN, che viene immediatamente inviato al criminale per autorizzare transazioni reali presso un terminale PoS o uno sportello bancomat.
Il ruolo del mulo nello schema
Dal lato del criminale, un dispositivo mulo esegue un'applicazione progettata per ricevere i dati della carta rubata. Questa configurazione garantisce una comunicazione fluida tra il terminale PoS e la carta della vittima, consentendo di fatto agli aggressori di utilizzare le credenziali rubate in tempo reale.
Lo sviluppatore del malware, noto online come Go1ano, è noto in Brasile per la rivendita di minacce Android. I ricercatori sottolineano che PhantomCard è essenzialmente una versione riconfezionata del servizio cinese NFU Pay, pubblicizzato apertamente su Telegram. Lo sviluppatore afferma che lo strumento è funzionante a livello globale, completamente non rilevabile e compatibile con tutti i sistemi PoS abilitati NFC. L'azienda pubblicizza inoltre stretti legami con altre famiglie di malware, tra cui BTMOB e GhostSpy.
Parte di un crescente ecosistema di frodi NFC sotterranee
NFU Pay è solo uno dei numerosi strumenti di relay NFC illegali presenti sul mercato, insieme a nomi come SuperCard X, KingNFC e X/Z/TX-NFC. La diffusione di questi strumenti comporta nuovi rischi per le banche e gli istituti finanziari regionali, consentendo agli attori delle minacce globali di aggirare le barriere linguistiche, culturali e tecniche che in precedenza limitavano gli attacchi. Questa espansione complica notevolmente il rilevamento e la prevenzione delle frodi.
Sud-est asiatico: un focolaio per lo sfruttamento della tecnologia NFC
I ricercatori avvertono che il Sud-est asiatico si sta rivelando un banco di prova per le frodi basate sulla tecnologia NFC. In paesi come le Filippine, l'aumento dei pagamenti contactless e la prevalenza di transazioni di basso valore che spesso aggirano i controlli del PIN rendono tali attacchi particolarmente efficaci.
Tra gli strumenti underground più comuni che consentono la frode NFC figurano:
- Z-NFC e X-NFC: noti per la clonazione e l'utilizzo di dati di carte rubate nelle transazioni in tempo reale.
- SuperCard X e Track2NFC: ampiamente disponibili nei forum del dark web e nei gruppi di chat privati, consentono agli aggressori di effettuare pagamenti contactless non autorizzati.
Le transazioni derivanti da questi attacchi spesso appaiono legittime, provenienti da dispositivi autenticati, il che rende difficile il rilevamento e la prevenzione, soprattutto nei sistemi finanziari in tempo reale.
