PhantomCard Mobile Malware
Badacze cyberbezpieczeństwa odkryli nowego, niebezpiecznego trojana na Androida o nazwie PhantomCard. To zaawansowane złośliwe oprogramowanie wykorzystuje technologię komunikacji bliskiego zasięgu (NFC) do przeprowadzania ataków retransmisyjnych, umożliwiając przestępcom dokonywanie oszukańczych transakcji poprzez wirtualne „klonowanie” kart bankowych ofiar.
Spis treści
Jak działa PhantomCard
PhantomCard działa poprzez przekazywanie danych NFC z karty ofiary do urządzenia przestępcy, umożliwiając atakującemu korzystanie z karty tak, jakby była fizycznie w jego posiadaniu. Konstrukcja złośliwego oprogramowania opiera się na opracowanym w Chinach oprogramowaniu typu „malware-as-a-service” do przekazywania danych NFC, a konkretnie na platformie NFU Pay.
Złośliwa aplikacja, podszywająca się pod Proteção Cartões, jest dystrybuowana za pośrednictwem fałszywych stron Google Play, które imitują legalne usługi ochrony kart. Strony te są wzbogacane fałszywymi pozytywnymi recenzjami, aby zwiększyć wiarygodność. Chociaż dokładna metoda dystrybucji pozostaje nieznana, prawdopodobnie stosuje się smishing lub podobne techniki socjotechniczne.
Po zainstalowaniu aplikacja prosi ofiarę o przyłożenie karty kredytowej lub debetowej do tylnej części telefonu w celu „weryfikacji”. Gdy na ekranie pojawia się komunikat „Wykryto kartę!”, złośliwe oprogramowanie rozpoczyna transmisję danych NFC do zdalnego serwera kontrolowanego przez atakującego. Następnie aplikacja prosi użytkownika o podanie kodu PIN, który jest natychmiast wysyłany do przestępcy w celu autoryzacji transakcji w terminalu PoS lub bankomacie.
Rola muła w programie
Po stronie przestępcy, urządzenie typu mule uruchamia odpowiednią aplikację przeznaczoną do odbierania danych skradzionej karty. Taka konfiguracja zapewnia płynną komunikację między terminalem PoS a kartą ofiary, skutecznie umożliwiając atakującym korzystanie ze skradzionych danych uwierzytelniających w czasie rzeczywistym.
Twórca złośliwego oprogramowania, znany w internecie jako Go1ano, jest znany w Brazylii z odsprzedaży zagrożeń dla Androida. Badacze zauważają, że PhantomCard to w zasadzie przepakowana wersja chińskiej usługi NFU Pay, otwarcie promowanej na Telegramie. Twórca twierdzi, że narzędzie jest globalnie funkcjonalne, całkowicie niewykrywalne i kompatybilne ze wszystkimi systemami PoS obsługującymi NFC. Reklamuje również bliskie powiązania z innymi rodzinami złośliwego oprogramowania, w tym BTMOB i GhostSpy.
Część rozwijającego się ekosystemu podziemnych oszustw NFC
NFU Pay to tylko jedno z kilku nielegalnych narzędzi do przekazywania NFC dostępnych na rynku, obok takich nazw jak SuperCard X, KingNFC i X/Z/TX-NFC. Rozpowszechnienie się tych narzędzi stwarza nowe zagrożenia dla regionalnych banków i instytucji finansowych, umożliwiając globalnym cyberprzestępcom omijanie barier językowych, kulturowych i technicznych, które wcześniej ograniczały ataki. To rozszerzenie znacznie komplikuje wykrywanie i zapobieganie oszustwom.
Azja Południowo-Wschodnia: Wylęgarnia technologii NFC
Naukowcy ostrzegają, że Azja Południowo-Wschodnia stała się poligonem doświadczalnym dla oszustw opartych na technologii NFC. W krajach takich jak Filipiny, wzrost liczby płatności zbliżeniowych i powszechność transakcji o niskiej wartości, często omijających weryfikację PIN-u, sprawiają, że takie ataki są szczególnie skuteczne.
Do typowych podziemnych narzędzi umożliwiających oszustwa związane z technologią NFC należą:
- Z-NFC i X-NFC – znane z klonowania i wykorzystywania skradzionych danych kart w transakcjach w czasie rzeczywistym.
- SuperCard X i Track2NFC – powszechnie dostępne na forach dark webu i prywatnych grupach czatowych, umożliwiają atakującym dokonywanie nieautoryzowanych płatności zbliżeniowych.
Transakcje będące wynikiem tych ataków często wydają się legalne i pochodzą z uwierzytelnionych urządzeń, co utrudnia ich wykrywanie i zapobieganie, szczególnie w przypadku systemów finansowych działających w czasie rzeczywistym.
