Perisian Hasad Mudah Alih PhantomCard
Penyelidik keselamatan siber telah menemui Trojan Android baharu yang berbahaya bernama PhantomCard. Perisian hasad yang canggih ini mengeksploitasi teknologi komunikasi medan dekat (NFC) untuk melakukan serangan geganti, membolehkan penjenayah melakukan transaksi penipuan dengan hampir "mengklon" kad perbankan mangsa.
Isi kandungan
Bagaimana PhantomCard Beroperasi
PhantomCard berfungsi dengan menyampaikan data NFC daripada kad mangsa kepada peranti penjenayah, membenarkan penyerang menggunakan kad itu seolah-olah ia berada dalam simpanan mereka secara fizikal. Reka bentuk perisian hasad adalah berdasarkan perisian hasad-sebagai-perkhidmatan penyampai NFC yang dibangunkan China, khususnya platform NFU Pay.
Apl berniat jahat, yang menyamar sebagai Proteção Cartões, diedarkan melalui halaman web Google Play palsu yang meniru perkhidmatan perlindungan kad yang sah. Halaman ini dipertingkatkan dengan ulasan positif palsu untuk meningkatkan kredibiliti. Walaupun kaedah pengedaran yang tepat masih tidak diketahui, taktik smishing atau kejuruteraan sosial yang serupa mungkin digunakan.
Setelah dipasang, apl itu menggesa mangsa meletakkan kad kredit atau debit mereka di belakang telefon mereka untuk 'pengesahan.' Apabila antara muka memaparkan 'Kad Dikesan!,' perisian hasad mula menghantar data NFC ke pelayan dikawal penyerang jauh. Apl itu kemudian meminta pengguna memasukkan PIN mereka, yang akan dihantar segera kepada penjenayah untuk membenarkan transaksi dunia sebenar di terminal atau ATM PoS.
Peranan Mule dalam Skim
Di pihak penjenayah, peranti keldai menjalankan aplikasi sepadan yang direka untuk menerima data kad yang dicuri. Persediaan ini memastikan komunikasi lancar antara terminal PoS dan kad mangsa, dengan berkesan membolehkan penyerang menggunakan bukti kelayakan yang dicuri dalam masa nyata.
Pembangun perisian hasad, yang dikenali dalam talian sebagai Go1ano, terkenal di Brazil kerana menjual semula ancaman Android. Penyelidik ambil perhatian bahawa PhantomCard pada asasnya ialah versi pembungkusan semula perkhidmatan NFU Pay Cina, yang dipromosikan secara terbuka di Telegram. Pembangun mendakwa alat itu berfungsi secara global, tidak dapat dikesan sepenuhnya dan serasi dengan semua sistem PoS yang didayakan NFC. Mereka juga mengiklankan hubungan rapat dengan keluarga perisian hasad lain, termasuk BTMOB dan GhostSpy.
Sebahagian daripada Ekosistem Penipuan NFC Bawah Tanah yang Berkembang
NFU Pay hanyalah salah satu daripada beberapa alat geganti NFC yang tidak sah di pasaran, bersama-sama nama seperti SuperCard X, KingNFC dan X/Z/TX-NFC. Penyebaran alatan ini membawa risiko baharu kepada bank serantau dan institusi kewangan dengan membolehkan pelaku ancaman global memintas halangan bahasa, budaya dan teknikal yang sebelum ini mengehadkan serangan. Peluasan ini merumitkan pengesanan dan pencegahan penipuan dengan ketara.
Asia Tenggara: Tempat Sarang untuk Eksploitasi NFC
Penyelidik memberi amaran bahawa Asia Tenggara telah muncul sebagai tempat ujian untuk penipuan berasaskan NFC. Di negara seperti Filipina, peningkatan dalam pembayaran tanpa sentuh dan kelaziman transaksi bernilai rendah yang sering memintas pemeriksaan PIN menjadikan serangan sedemikian amat berkesan.
Alat bawah tanah biasa yang membolehkan penipuan NFC termasuk:
- Z-NFC dan X-NFC – Terkenal kerana pengklonan dan menggunakan data kad yang dicuri dalam transaksi masa nyata.
- SuperCard X dan Track2NFC – Tersedia secara meluas dalam forum web gelap dan kumpulan sembang peribadi, ini membolehkan penyerang melakukan pembayaran tanpa sentuhan tanpa kebenaran.
Urus niaga daripada serangan ini selalunya kelihatan sah, berpunca daripada peranti yang disahkan, yang menjadikan pengesanan dan pencegahan mencabar, terutamanya dalam sistem kewangan masa nyata.
