Вредоносное ПО PhantomCard для мобильных устройств
Исследователи кибербезопасности обнаружили новый опасный троян для Android под названием PhantomCard. Эта сложная вредоносная программа использует технологию беспроводной связи ближнего радиуса действия (NFC) для проведения ретрансляционных атак, позволяя злоумышленникам совершать мошеннические транзакции, фактически «клонируя» банковские карты жертв.
Оглавление
Как работает PhantomCard
PhantomCard работает, передавая NFC-данные с карты жертвы на устройство злоумышленника, что позволяет злоумышленнику использовать карту так, как будто она находится у него. Вредоносная программа основана на разработанном в Китае вредоносном ПО для ретрансляции NFC, которое представляет собой услугу, а именно на платформе NFU Pay.
Вредоносное приложение, замаскированное под Proteção Cartões, распространяется через поддельные страницы Google Play, имитирующие легальные сервисы защиты карт. Эти страницы дополняются фейковыми положительными отзывами для повышения доверия. Хотя точный способ распространения неизвестен, вероятно, используются смишинг или аналогичные методы социальной инженерии.
После установки приложение предлагает жертве приложить свою кредитную или дебетовую карту к задней панели телефона для «верификации». Когда на экране появляется сообщение «Карта обнаружена!», вредоносная программа начинает передавать данные NFC на удалённый сервер, контролируемый злоумышленником. Затем приложение просит пользователя ввести PIN-код, который немедленно отправляется злоумышленнику для авторизации реальных транзакций на PoS-терминале или банкомате.
Роль мула в схеме
На стороне злоумышленника устройство-мул запускает соответствующее приложение, предназначенное для получения данных украденной карты. Такая конфигурация обеспечивает бесперебойную связь между PoS-терминалом и картой жертвы, фактически позволяя злоумышленникам использовать украденные учетные данные в режиме реального времени.
Разработчик вредоносного ПО, известный в интернете как Go1ano, известен в Бразилии перепродажей вредоносных программ для Android. Исследователи отмечают, что PhantomCard — это, по сути, переупакованная версия китайского сервиса NFU Pay, который открыто продвигается в Telegram. Разработчик утверждает, что инструмент работает по всему миру, абсолютно необнаружим и совместим со всеми PoS-системами с поддержкой NFC. Они также рекламируют тесную связь с другими семействами вредоносных программ, включая BTMOB и GhostSpy.
Часть растущей экосистемы подпольного мошенничества с использованием NFC
NFU Pay — лишь один из нескольких нелегальных NFC-ретрансляторов на рынке, наряду с такими названиями, как SuperCard X, KingNFC и X/Z/TX-NFC. Распространение этих инструментов создаёт новые риски для региональных банков и финансовых учреждений, позволяя глобальным злоумышленникам обходить языковые, культурные и технические барьеры, которые ранее сдерживали атаки. Это расширение значительно затрудняет выявление и предотвращение мошенничества.
Юго-Восточная Азия: рассадник эксплуатации NFC
Исследователи предупреждают, что Юго-Восточная Азия стала испытательным полигоном для мошенничества с использованием NFC. В таких странах, как Филиппины, рост бесконтактных платежей и распространённость транзакций на небольшие суммы, часто обходящихся без проверки PIN-кода, делают подобные атаки особенно эффективными.
К распространенным подпольным инструментам, позволяющим осуществлять мошенничество с использованием NFC, относятся:
- Z-NFC и X-NFC — известны тем, что клонируют и используют данные украденных карт в транзакциях в режиме реального времени.
- SuperCard X и Track2NFC — широко распространенные на форумах даркнета и в закрытых чатах, они позволяют злоумышленникам совершать несанкционированные бесконтактные платежи.
Транзакции в результате таких атак часто выглядят законными, исходящими с аутентифицированных устройств, что затрудняет их обнаружение и предотвращение, особенно в финансовых системах, работающих в режиме реального времени.
