PhantomCard mobiliųjų įrenginių kenkėjiška programa
Kibernetinio saugumo tyrėjai atrado naują pavojingą „Android“ Trojos arklį, vadinamą „PhantomCard“. Ši sudėtinga kenkėjiška programa išnaudoja artimojo lauko ryšio (NFC) technologiją, kad atliktų perdavimo atakas, leisdama nusikaltėliams atlikti nesąžiningas operacijas virtualiai „klonuojant“ aukų banko korteles.
Turinys
Kaip veikia „PhantomCard“
„PhantomCard“ veikia perduodama NFC duomenis iš aukos kortelės į nusikaltėlio įrenginį, leisdama užpuolikui naudoti kortelę taip, tarsi ji fiziškai būtų jo nuosavybė. Kenkėjiškos programos dizainas pagrįstas Kinijoje sukurta NFC perdavimo kenkėjiška programa kaip paslauga, konkrečiai – „NFU Pay“ platforma.
Kenkėjiška programėlė, užmaskuota kaip „Proteção Cartões“, platinama per netikrus „Google Play“ tinklalapius, kurie imituoja teisėtas kortelių apsaugos paslaugas. Šie puslapiai papildomi netikrais teigiamais atsiliepimais, siekiant padidinti patikimumą. Nors tikslus platinimo būdas nežinomas, greičiausiai naudojama „smishing“ ar panaši socialinės inžinerijos taktika.
Įdiegus programėlę, auka raginama padėti kreditinę arba debeto kortelę ant telefono galinės dalies „patvirtinimui“. Kai sąsajoje parodomas pranešimas „Kortelė aptikta!“, kenkėjiška programa pradeda siųsti NFC duomenis į nuotolinį užpuoliko valdomą serverį. Tada programėlė prašo vartotojo įvesti PIN kodą, kuris nedelsiant siunčiamas nusikaltėliui, kad jis galėtų autorizuoti realius sandorius POS terminale arba bankomate.
Mulo vaidmuo schemoje
Nusikaltėlio pusėje „mulo“ įrenginyje veikia atitinkama programa, skirta pavogtos kortelės duomenims gauti. Ši sąranka užtikrina sklandų ryšį tarp „PoS“ terminalo ir aukos kortelės, todėl užpuolikai gali realiuoju laiku naudoti pavogtus prisijungimo duomenis.
Kenkėjiškų programų kūrėjas, internete žinomas kaip „Go1ano“, Brazilijoje pagarsėjęs dėl „Android“ grėsmių perpardavimo. Tyrėjai pažymi, kad „PhantomCard“ iš esmės yra perpakuota kiniškos „NFU Pay“ paslaugos, kuri atvirai reklamuojama „Telegram“, versija. Kūrėjas teigia, kad įrankis veikia visame pasaulyje, yra visiškai neaptinkamas ir suderinamas su visomis NFC palaikančiomis PoS sistemomis. Jie taip pat skelbia apie glaudžius ryšius su kitomis kenkėjiškų programų šeimomis, įskaitant BTMOB ir „GhostSpy“.
Augančios pogrindinės NFC sukčiavimo ekosistemos dalis
„NFU Pay“ yra tik viena iš kelių nelegalių NFC perdavimo įrankių rinkoje, šalia tokių pavadinimų kaip „SuperCard X“, „KingNFC“ ir „X/Z/TX-NFC“. Šių įrankių plitimas kelia naujų pavojų regioniniams bankams ir finansų įstaigoms, nes leidžia pasauliniams grėsmės veikėjams apeiti kalbos, kultūrinius ir techninius barjerus, kurie anksčiau ribojo atakas. Šis išplėtimas labai apsunkina sukčiavimo aptikimą ir prevenciją.
Pietryčių Azija: NFC išnaudojimo židinys
Tyrėjai perspėja, kad Pietryčių Azija tapo NFC pagrindu sukurto sukčiavimo bandymų poligonu. Tokiose šalyse kaip Filipinai bekontakčių mokėjimų augimas ir mažos vertės operacijų, kurios dažnai apeina PIN kodo patikrinimus, paplitimas daro tokias atakas ypač veiksmingas.
Įprasti pogrindiniai NFC sukčiavimo įrankiai:
- Z-NFC ir X-NFC – žinomi dėl pavogtų kortelių duomenų klonavimo ir naudojimo realiuoju laiku atliekamose operacijose.
- „SuperCard X“ ir „Track2NFC“ – plačiai prieinami tamsiojo interneto forumuose ir privačiose pokalbių grupėse, leidžiantys užpuolikams atlikti neautorizuotus bekontakčius mokėjimus.
Šių atakų metu atliekamos operacijos dažnai atrodo teisėtos, atliekamos iš autentifikuotų įrenginių, todėl jas sunku aptikti ir užkirsti kelią, ypač realaus laiko finansinėse sistemose.
