PhantomCard mobil skadelig programvare
Forskere innen nettsikkerhet har avdekket en farlig ny Android-trojaner kalt PhantomCard. Denne sofistikerte skadevaren utnytter nærfeltskommunikasjonsteknologi (NFC) til å utføre reléangrep, som gjør det mulig for kriminelle å foreta uredelige transaksjoner ved å virtuelt «klone» ofrenes bankkort.
Innholdsfortegnelse
Hvordan PhantomCard fungerer
PhantomCard fungerer ved å videresende NFC-data fra et offers kort til en kriminell enhet, slik at angriperen kan bruke kortet som om det fysisk var i deres besittelse. Skadevarens design er basert på kinesisk utviklet NFC-videresending av skadevare som en tjeneste, nærmere bestemt NFU Pay-plattformen.
Den ondsinnede appen, forkledd som Proteção Cartões, distribueres via falske Google Play-nettsider som imiterer legitime kortbeskyttelsestjenester. Disse sidene er forbedret med falske positive anmeldelser for å øke troverdigheten. Selv om den nøyaktige distribusjonsmetoden fortsatt er ukjent, brukes sannsynligvis smishing eller lignende sosial manipuleringstaktikker.
Når appen er installert, ber den offeret om å plassere kreditt- eller debetkortet sitt på baksiden av telefonen for «verifisering». Når grensesnittet viser «Kort oppdaget!», begynner skadevaren å overføre NFC-data til en ekstern angriperkontrollert server. Appen ber deretter brukeren om å taste inn PIN-koden sin, som umiddelbart sendes til den kriminelle for å autorisere transaksjoner i den virkelige verden på en PoS-terminal eller minibank.
Muldyrets rolle i ordningen
På den kriminelles side kjører en muldyrenhet en tilsvarende applikasjon som er designet for å motta de stjålne kortdataene. Dette oppsettet sikrer smidig kommunikasjon mellom PoS-terminalen og offerets kort, noe som effektivt gjør det mulig for angripere å bruke de stjålne legitimasjonene i sanntid.
Utvikleren av skadevare, kjent på nett som Go1ano, er beryktet i Brasil for å videreselge Android-trusler. Forskere bemerker at PhantomCard i hovedsak er en ompakket versjon av den kinesiske NFU Pay-tjenesten, som åpent markedsføres på Telegram. Utvikleren hevder at verktøyet er globalt funksjonelt, fullstendig uoppdagbart og kompatibelt med alle NFC-aktiverte PoS-systemer. De annonserer også nære bånd med andre skadevarefamilier, inkludert BTMOB og GhostSpy.
En del av et voksende underjordisk NFC-svindeløkosystem
NFU Pay er bare ett av flere ulovlige NFC-reléverktøy på markedet, sammen med navn som SuperCard X, KingNFC og X/Z/TX-NFC. Spredningen av disse verktøyene bringer nye risikoer for regionale banker og finansinstitusjoner ved å gjøre det mulig for globale trusselaktører å omgå språklige, kulturelle og tekniske barrierer som tidligere begrenset angrep. Denne utvidelsen kompliserer svindeldeteksjon og -forebygging betydelig.
Sørøst-Asia: Et arnested for NFC-utnyttelse
Forskere advarer om at Sørøst-Asia har blitt et testområde for NFC-basert svindel. I land som Filippinene gjør økningen i kontaktløse betalinger og utbredelsen av transaksjoner med lav beløp som ofte omgår PIN-kontroller, slike angrep spesielt effektive.
Vanlige undergrunnsverktøy som muliggjør NFC-svindel inkluderer:
- Z-NFC og X-NFC – Kjent for kloning og bruk av stjålne kortdata i sanntidstransaksjoner.
- SuperCard X og Track2NFC – Disse er bredt tilgjengelige i mørke nettfora og private chattegrupper, og lar angripere utføre uautoriserte kontaktløse betalinger.
Transaksjonene fra disse angrepene virker ofte legitime, og stammer fra autentiserte enheter, noe som gjør deteksjon og forebygging utfordrende, spesielt i sanntids finansielle systemer.
