PhantomCard mobiele malware
Cybersecurityonderzoekers hebben een gevaarlijke nieuwe Android-trojan ontdekt, PhantomCard genaamd. Deze geavanceerde malware maakt gebruik van NFC-technologie (Near Field Communication) om relay-aanvallen uit te voeren, waardoor criminelen frauduleuze transacties kunnen uitvoeren door de bankpassen van slachtoffers virtueel te "klonen".
Inhoudsopgave
Hoe PhantomCard werkt
PhantomCard werkt door NFC-gegevens van de kaart van een slachtoffer door te sturen naar het apparaat van een crimineel, waardoor de aanvaller de kaart kan gebruiken alsof deze fysiek in zijn bezit is. Het ontwerp van de malware is gebaseerd op de in China ontwikkelde NFC relay malware-as-a-service, met name het NFU Pay-platform.
De kwaadaardige app, vermomd als Proteção Cartões, wordt verspreid via neppagina's van Google Play die legitieme creditcardbeveiligingsdiensten imiteren. Deze pagina's worden voorzien van nep-positieve recensies om de geloofwaardigheid te vergroten. Hoewel de exacte distributiemethode onbekend blijft, wordt er waarschijnlijk gebruikgemaakt van smishing of vergelijkbare social engineering-tactieken.
Na installatie vraagt de app het slachtoffer om zijn creditcard of betaalpas op de achterkant van zijn telefoon te leggen ter 'verificatie'. Wanneer de interface 'Kaart gedetecteerd!' weergeeft, begint de malware NFC-gegevens te verzenden naar een externe server die door de aanvaller wordt beheerd. De app vraagt de gebruiker vervolgens om zijn pincode in te voeren, die direct naar de crimineel wordt verzonden om fysieke transacties bij een PoS-terminal of geldautomaat te autoriseren.
De rol van de muilezel in het plan
Aan de kant van de crimineel draait een mule-apparaat een bijbehorende applicatie die is ontworpen om de gestolen kaartgegevens te ontvangen. Deze configuratie zorgt voor een soepele communicatie tussen de PoS-terminal en de kaart van het slachtoffer, waardoor aanvallers de gestolen gegevens in realtime kunnen gebruiken.
De malwareontwikkelaar, online bekend als Go1ano, is in Brazilië berucht vanwege de wederverkoop van Android-bedreigingen. Onderzoekers merken op dat PhantomCard in wezen een heruitgave is van de Chinese NFU Pay-dienst, die openlijk wordt gepromoot op Telegram. De ontwikkelaar beweert dat de tool wereldwijd functioneel, volledig ondetecteerbaar en compatibel is met alle NFC-compatibele PoS-systemen. Ze adverteren ook met nauwe banden met andere malwarefamilies, waaronder BTMOB en GhostSpy.
Onderdeel van een groeiend ondergronds NFC-fraude-ecosysteem
NFU Pay is slechts één van de vele illegale NFC-relaytools op de markt, naast namen als SuperCard X, KingNFC en X/Z/TX-NFC. De verspreiding van deze tools brengt nieuwe risico's met zich mee voor regionale banken en financiële instellingen, omdat ze wereldwijde cybercriminelen in staat stellen taal-, culturele en technische barrières te omzeilen die voorheen aanvallen beperkten. Deze uitbreiding bemoeilijkt fraudedetectie en -preventie aanzienlijk.
Zuidoost-Azië: een broeinest voor NFC-exploitatie
Onderzoekers waarschuwen dat Zuidoost-Azië zich ontpopt tot een proeftuin voor NFC-fraude. In landen als de Filipijnen maken de toename van contactloze betalingen en de prevalentie van transacties met een laag bedrag, waarbij vaak pincodecontroles worden omzeild, dergelijke aanvallen bijzonder effectief.
Veelvoorkomende ondergrondse tools die NFC-fraude mogelijk maken, zijn onder meer:
- Z-NFC en X-NFC – Bekend om het klonen en gebruiken van gestolen kaartgegevens in realtime transacties.
- SuperCard X en Track2NFC – Deze zijn breed beschikbaar op darkwebforums en privéchatgroepen en stellen aanvallers in staat om ongeautoriseerde contactloze betalingen uit te voeren.
De transacties die het resultaat zijn van deze aanvallen lijken vaak legitiem en afkomstig van geauthenticeerde apparaten. Dit maakt detectie en preventie lastig, vooral in realtime financiële systemen.
