Programe malware PhantomCard Mobile

Cercetătorii în domeniul securității cibernetice au descoperit un nou și periculos troian pentru Android, numit PhantomCard. Acest malware sofisticat exploatează tehnologia de comunicare în câmp apropiat (NFC) pentru a efectua atacuri prin releu, permițând infractorilor să efectueze tranzacții frauduloase prin „clonarea” virtuală a cardurilor bancare ale victimelor.

Cum funcționează PhantomCard

PhantomCard funcționează prin transmiterea datelor NFC de pe cardul victimei către dispozitivul unui infractor, permițând atacatorului să utilizeze cardul ca și cum ar fi fizic în posesia sa. Designul malware-ului se bazează pe malware-as-a-service de tip NFC relay dezvoltat în China, în special pe platforma NFU Pay.

Aplicația rău intenționată, deghizată sub numele de Proteção Cartões, este distribuită prin intermediul unor pagini web false de pe Google Play care imită servicii legitime de protecție a cardurilor. Aceste pagini sunt îmbogățite cu recenzii pozitive false pentru a spori credibilitatea. Deși metoda exactă de distribuție rămâne necunoscută, este probabil să se utilizeze smishing sau tactici similare de inginerie socială.

Odată instalată, aplicația solicită victimei să își plaseze cardul de credit sau de debit pe spatele telefonului pentru „verificare”. Când interfața afișează „Card detectat!”, malware-ul începe să transmită date NFC către un server controlat de atacator la distanță. Aplicația solicită apoi utilizatorului să introducă codul PIN, care este trimis imediat infractorului pentru a autoriza tranzacții reale la un terminal PoS sau un bancomat.

Rolul catârului în schemă

De partea infractorului, un dispozitiv mule rulează o aplicație corespunzătoare concepută pentru a primi datele cardului furat. Această configurație asigură o comunicare fără probleme între terminalul PoS și cardul victimei, permițând efectiv atacatorilor să utilizeze datele de autentificare furate în timp real.

Dezvoltatorul de programe malware, cunoscut online sub numele de Go1ano, este cunoscut în Brazilia pentru revânzarea amenințărilor Android. Cercetătorii notează că PhantomCard este, în esență, o versiune reîmpachetată a serviciului chinezesc NFU Pay, promovat deschis pe Telegram. Dezvoltatorul susține că instrumentul este funcțional la nivel global, complet nedetectabil și compatibil cu toate sistemele PoS cu NFC. De asemenea, promovează legături strânse cu alte familii de programe malware, inclusiv BTMOB și GhostSpy.

Parte a unui ecosistem subteran de fraudă NFC în creștere

NFU Pay este doar unul dintre numeroasele instrumente ilegale de retransmitere NFC de pe piață, alături de nume precum SuperCard X, KingNFC și X/Z/TX-NFC. Răspândirea acestor instrumente aduce noi riscuri pentru băncile regionale și instituțiile financiare, permițând actorilor globali de amenințare să ocolească barierele lingvistice, culturale și tehnice care anterior limitau atacurile. Această extindere complică semnificativ detectarea și prevenirea fraudelor.

Asia de Sud-Est: Un focar pentru exploatarea NFC

Cercetătorii avertizează că Asia de Sud-Est a devenit un teren de testare pentru frauda bazată pe NFC. În țări precum Filipine, creșterea plăților contactless și prevalența tranzacțiilor cu valoare mică care adesea ocolesc verificările PIN fac ca astfel de atacuri să fie deosebit de eficiente.

Printre instrumentele clandestine comune care permit frauda NFC se numără:

• Z-NFC și X-NFC – Cunoscute pentru clonarea și utilizarea datelor de card furate în tranzacții în timp real.
• SuperCard X și Track2NFC – Disponibile pe scară largă în forumurile dark web și în grupurile de chat private, acestea permit atacatorilor să efectueze plăți contactless neautorizate.

Tranzacțiile rezultate în urma acestor atacuri par adesea legitime, provenind de pe dispozitive autentificate, ceea ce face ca detectarea și prevenirea acestora să fie dificile, în special în sistemele financiare în timp real.