Mobilný malvér PhantomCard
Výskumníci v oblasti kybernetickej bezpečnosti odhalili nového nebezpečného trójskeho koňa pre Android s názvom PhantomCard. Tento sofistikovaný malvér využíva technológiu NFC (near field communication) na vykonávanie prenosových útokov, čo umožňuje zločincom vykonávať podvodné transakcie virtuálnym „klonovaním“ bankových kariet obetí.
Obsah
Ako funguje PhantomCard
PhantomCard funguje tak, že prenáša NFC dáta z karty obete do zariadenia zločinca, čo útočníkovi umožňuje používať kartu, akoby ju fyzicky vlastnil. Dizajn malvéru je založený na čínskom vývoji malvéru NFC relay ako služby, konkrétne na platforme NFU Pay.
Škodlivá aplikácia, maskovaná ako Proteção Cartões, sa distribuuje prostredníctvom falošných webových stránok Google Play, ktoré napodobňujú legitímne služby ochrany kariet. Tieto stránky sú vylepšené falošnými pozitívnymi recenziami, aby sa zvýšila dôveryhodnosť. Hoci presný spôsob distribúcie zostáva neznámy, pravdepodobne sa používa smishing alebo podobné taktiky sociálneho inžinierstva.
Po nainštalovaní aplikácia vyzve obeť, aby priložila svoju kreditnú alebo debetnú kartu k zadnej strane telefónu kvôli „overeniu“. Keď sa na rozhraní zobrazí správa „Bola zistená karta!“, malvér začne prenášať údaje NFC na vzdialený server ovládaný útočníkom. Aplikácia potom požiada používateľa o zadanie PIN kódu, ktorý sa okamžite odošle zločincovi na autorizáciu reálnych transakcií na POS termináli alebo bankomate.
Úloha muly v schéme
Na strane páchateľa spúšťa zariadenie typu „mula“ zodpovedajúcu aplikáciu určenú na príjem údajov z ukradnutej karty. Toto nastavenie zaisťuje bezproblémovú komunikáciu medzi terminálom PoS a kartou obete, čo útočníkom efektívne umožňuje používať ukradnuté prihlasovacie údaje v reálnom čase.
Vývojár malvéru, online známy ako Go1ano, je v Brazílii notoricky známy predávaním hrozieb pre Android. Výskumníci poznamenávajú, že PhantomCard je v podstate prebalená verzia čínskej služby NFU Pay, ktorá je otvorene propagovaná na Telegrame. Vývojár tvrdí, že nástroj je globálne funkčný, úplne nezistiteľný a kompatibilný so všetkými systémami PoS s podporou NFC. Taktiež propaguje úzke väzby s inými rodinami malvéru vrátane BTMOB a GhostSpy.
Súčasť rastúceho podzemného ekosystému podvodov s NFC
NFU Pay je len jedným z niekoľkých nelegálnych nástrojov NFC na prenos dát na trhu, popri názvoch ako SuperCard X, KingNFC a X/Z/TX-NFC. Šírenie týchto nástrojov prináša nové riziká pre regionálne banky a finančné inštitúcie, pretože umožňuje globálnym aktérom hrozby obísť jazykové, kultúrne a technické bariéry, ktoré predtým obmedzovali útoky. Toto rozšírenie výrazne komplikuje odhaľovanie a prevenciu podvodov.
Juhovýchodná Ázia: Liahnisko pre zneužívanie NFC
Výskumníci varujú, že juhovýchodná Ázia sa stala testovacím poliom pre podvody založené na NFC. V krajinách ako Filipíny je nárast bezkontaktných platieb a rozšírenosť transakcií s nízkou hodnotou, ktoré často obchádzajú kontroly PIN kódu, čo robí takéto útoky obzvlášť účinnými.
Medzi bežné podzemné nástroje umožňujúce podvody s NFC patria:
- Z-NFC a X-NFC – Známe klonovaním a používaním ukradnutých údajov z kariet v transakciách v reálnom čase.
- SuperCard X a Track2NFC – Tieto karty sú široko dostupné na fórach dark webu a v súkromných chatovacích skupinách a umožňujú útočníkom vykonávať neoprávnené bezkontaktné platby.
Transakcie z týchto útokov sa často javia ako legitímne, pochádzajúce z overených zariadení, čo sťažuje ich detekciu a prevenciu, najmä vo finančných systémoch v reálnom čase.
