PhantomCard mobilo ierīču ļaunprogrammatūra
Kiberdrošības pētnieki ir atklājuši jaunu bīstamu Android Trojas zirgu ar nosaukumu PhantomCard. Šī sarežģītā ļaunprogrammatūra izmanto tuvā darbības lauka sakaru (NFC) tehnoloģiju, lai veiktu retranslācijas uzbrukumus, ļaujot noziedzniekiem veikt krāpnieciskus darījumus, virtuāli "klonējot" upuru bankas kartes.
Satura rādītājs
Kā darbojas PhantomCard
PhantomCard darbojas, pārsūtot NFC datus no upura kartes uz noziedznieka ierīci, ļaujot uzbrucējam izmantot karti tā, it kā tā fiziski atrastos viņa īpašumā. Ļaunprogrammatūras dizains ir balstīts uz Ķīnā izstrādātu NFC pārraides ļaunprogrammatūru kā pakalpojumu, proti, NFU Pay platformu.
Ļaunprātīgā lietotne, kas maskējas kā Proteção Cartões, tiek izplatīta, izmantojot viltotas Google Play tīmekļa lapas, kas imitē likumīgus karšu aizsardzības pakalpojumus. Šīs lapas ir papildinātas ar viltus pozitīvām atsauksmēm, lai palielinātu ticamību. Lai gan precīza izplatīšanas metode joprojām nav zināma, visticamāk, tiek izmantota smishing vai līdzīga sociālās inženierijas taktika.
Pēc instalēšanas lietotne aicina upuri ievietot kredītkarti vai debetkarti tālruņa aizmugurē, lai veiktu “verifikāciju”. Kad saskarnē tiek parādīts ziņojums “Karte atrasta!”, ļaunprogrammatūra sāk pārsūtīt NFC datus uz attālinātu uzbrucēja kontrolētu serveri. Pēc tam lietotne lūdz lietotājam ievadīt PIN kodu, kas nekavējoties tiek nosūtīts noziedzniekam, lai autorizētu reālus darījumus POS terminālī vai bankomātā.
Mūļa loma shēmā
Noziedznieka pusē mūļa ierīce darbina atbilstošu lietojumprogrammu, kas paredzēta nozagto karšu datu saņemšanai. Šī iestatīšana nodrošina netraucētu saziņu starp PoS termināli un upura karti, efektīvi ļaujot uzbrucējiem reāllaikā izmantot nozagtos akreditācijas datus.
Ļaunprogrammatūras izstrādātājs, kas tiešsaistē pazīstams kā Go1ano, Brazīlijā ir bēdīgi slavens ar Android draudu tālākpārdošanu. Pētnieki norāda, ka PhantomCard būtībā ir pārpakota ķīniešu NFU Pay pakalpojuma versija, kas tiek atklāti reklamēta Telegram platformā. Izstrādātājs apgalvo, ka rīks ir globāli funkcionējošs, pilnībā neatklājams un saderīgs ar visām NFC iespējotajām PoS sistēmām. Viņi arī reklamē ciešu saistību ar citām ļaunprogrammatūru saimēm, tostarp BTMOB un GhostSpy.
Daļa no augošas pazemes NFC krāpšanas ekosistēmas
NFU Pay ir tikai viens no vairākiem nelegāliem NFC pārraides rīkiem tirgū, līdzās tādiem nosaukumiem kā SuperCard X, KingNFC un X/Z/TX-NFC. Šo rīku izplatība rada jaunus riskus reģionālajām bankām un finanšu iestādēm, ļaujot globālajiem apdraudējumu dalībniekiem apiet valodas, kultūras un tehniskās barjeras, kas iepriekš ierobežoja uzbrukumus. Šī paplašināšanās ievērojami sarežģī krāpšanas atklāšanu un novēršanu.
Dienvidaustrumāzija: NFC izmantošanas perēklis
Pētnieki brīdina, ka Dienvidaustrumāzija ir kļuvusi par NFC krāpšanas izmēģinājumu poligonu. Tādās valstīs kā Filipīnas bezkontakta maksājumu pieaugums un mazas vērtības darījumu izplatība, kas bieži vien apiet PIN pārbaudes, padara šādus uzbrukumus īpaši efektīvus.
Izplatītākie nelegālie rīki, kas ļauj veikt NFC krāpšanu, ir šādi:
- Z-NFC un X-NFC — pazīstami ar zagtu karšu datu klonēšanu un izmantošanu reāllaika darījumos.
- SuperCard X un Track2NFC — plaši pieejami tumšā tīmekļa forumos un privātās tērzēšanas grupās, kas ļauj uzbrucējiem veikt neatļautus bezkontakta maksājumus.
Šo uzbrukumu rezultātā veiktie darījumi bieži vien šķiet likumīgi, jo tie veikti no autentificētām ierīcēm, kas apgrūtina atklāšanu un novēršanu, īpaši reāllaika finanšu sistēmās.
