팬텀카드 모바일 맬웨어

사이버 보안 연구원들이 팬텀카드(PhantomCard)라는 위험한 신종 안드로이드 트로이 목마를 발견했습니다. 이 정교한 악성코드는 근거리 무선 통신(NFC) 기술을 악용하여 릴레이 공격을 감행하고, 범죄자들이 피해자의 은행 카드를 사실상 "복제"하여 사기 거래를 할 수 있도록 합니다.

팬텀카드 작동 방식

팬텀카드는 피해자 카드의 NFC 데이터를 범죄자의 기기로 전송하여 공격자가 마치 카드를 물리적으로 소지한 것처럼 사용할 수 있도록 합니다. 이 맬웨어는 중국에서 개발된 NFC 릴레이 맬웨어 서비스, 특히 NFU Pay 플랫폼을 기반으로 설계되었습니다.

Proteção Cartões로 위장한 이 악성 앱은 합법적인 카드 보안 서비스를 모방한 가짜 Google Play 웹페이지를 통해 배포됩니다. 이러한 페이지는 신뢰도를 높이기 위해 가짜 긍정적인 리뷰로 보강됩니다. 정확한 배포 방식은 아직 알려지지 않았지만, 스미싱이나 유사한 소셜 엔지니어링 기법이 사용되었을 가능성이 높습니다.

앱이 설치되면 피해자는 '인증'을 위해 신용카드 또는 직불카드를 휴대폰 뒷면에 대도록 요청합니다. 인터페이스에 '카드 감지됨!'이라는 메시지가 표시되면 맬웨어는 NFC 데이터를 공격자가 제어하는 원격 서버로 전송하기 시작합니다. 그런 다음 앱은 사용자에게 PIN을 입력하도록 요청하고, 이 PIN은 즉시 범죄자에게 전송되어 PoS 단말기나 ATM에서 실제 거래를 승인합니다.

계획에서 노새의 역할

범죄자 측에서는 뮬(mule) 장치가 도난된 카드 데이터를 수신하도록 설계된 해당 애플리케이션을 실행합니다. 이러한 설정은 PoS 단말기와 피해자 카드 간의 원활한 통신을 보장하여 공격자가 도난된 자격 증명을 실시간으로 사용할 수 있도록 합니다.

Go1ano라는 온라인 닉네임으로 알려진 이 악성코드 개발자는 브라질에서 안드로이드 위협을 재판매하는 것으로 악명 높습니다. 연구원들은 PhantomCard가 텔레그램에서 공개적으로 홍보되는 중국 NFU Pay 서비스의 리패키징 버전이라고 지적합니다. 개발자는 이 도구가 전 세계적으로 작동하고, 탐지가 전혀 불가능하며, 모든 NFC 지원 PoS 시스템과 호환된다고 주장합니다. 또한 BTMOB와 GhostSpy를 포함한 다른 악성코드 계열과도 긴밀한 관련이 있다고 홍보합니다.

성장하는 지하 NFC 사기 생태계의 일부

NFU Pay는 SuperCard X, KingNFC, X/Z/TX-NFC 등과 함께 시중에 유통되는 여러 불법 NFC 중계 도구 중 하나입니다. 이러한 도구의 확산은 전 세계 위협 행위자들이 이전에는 공격을 제한했던 언어, 문화, 기술 장벽을 우회할 수 있게 함으로써 지역 은행과 금융 기관에 새로운 위험을 초래합니다. 이러한 확장은 사기 탐지 및 예방을 상당히 복잡하게 만듭니다.

동남아시아: NFC 활용의 온상

연구원들은 동남아시아가 NFC 기반 사기의 시험장으로 부상하고 있다고 경고합니다. 필리핀과 같은 국가에서는 비접촉식 결제가 증가하고 PIN 확인을 우회하는 소액 거래가 급증함에 따라 이러한 공격이 특히 효과적입니다.

NFC 사기를 가능하게 하는 일반적인 지하 도구는 다음과 같습니다.

• Z-NFC 및 X-NFC – 도난당한 카드 데이터를 복제하여 실시간 거래에 사용하는 것으로 알려져 있습니다.
• SuperCard X와 Track2NFC – 다크웹 포럼과 개인 채팅 그룹에서 널리 이용 가능하며, 공격자는 이를 이용해 승인되지 않은 비접촉 결제를 수행할 수 있습니다.

이러한 공격으로 인한 거래는 인증된 장치에서 시작된 합법적인 거래처럼 보이는 경우가 많기 때문에 특히 실시간 금융 시스템에서는 이를 감지하고 예방하기가 어렵습니다.