Zlonamerna programska oprema za mobilne naprave PhantomCard
Raziskovalci kibernetske varnosti so odkrili nevarnega novega trojanca za Android z imenom PhantomCard. Ta sofisticirana zlonamerna programska oprema izkorišča tehnologijo komunikacije bližnjega polja (NFC) za izvajanje relejnih napadov, kar kriminalcem omogoča goljufive transakcije s praktično "kloniranjem" bančnih kartic žrtev.
Kazalo
Kako deluje PhantomCard
PhantomCard deluje tako, da posreduje podatke NFC z žrtvene kartice na napravo kriminalca, kar napadalcu omogoča uporabo kartice, kot da bi bila fizično v njegovi lasti. Zasnova zlonamerne programske opreme temelji na kitajski platformi NFC Relay malware-as-a-Service, natančneje na platformi NFU Pay.
Zlonamerna aplikacija, prikrita kot Proteção Cartões, se distribuira prek lažnih spletnih strani Google Play, ki posnemajo legitimne storitve za zaščito kartic. Te strani so obogatene z lažnimi pozitivnimi ocenami, da se poveča verodostojnost. Čeprav natančen način distribucije ostaja neznan, se verjetno uporablja smishing ali podobne taktike socialnega inženiringa.
Ko je aplikacija nameščena, žrtev pozove, naj svojo kreditno ali debetno kartico prisloni na hrbtno stran telefona za »preverjanje«. Ko se na vmesniku prikaže »Zaznana kartica!«, zlonamerna programska oprema začne prenašati podatke NFC na oddaljeni strežnik, ki ga nadzoruje napadalec. Aplikacija nato od uporabnika zahteva vnos PIN-a, ki se takoj pošlje storilcu, da odobri transakcije v resničnem svetu na terminalu PoS ali bankomatu.
Vloga mule v shemi
Na strani storilca naprava za prevaro izvaja ustrezno aplikacijo, namenjeno prejemanju ukradenih podatkov o kartici. Ta nastavitev zagotavlja nemoteno komunikacijo med terminalom PoS in kartico žrtve, kar napadalcem omogoča uporabo ukradenih poverilnic v realnem času.
Razvijalec zlonamerne programske opreme, na spletu znan kot Go1ano, je v Braziliji znan po preprodaji groženj za Android. Raziskovalci ugotavljajo, da je PhantomCard v bistvu predelana različica kitajske storitve NFU Pay, ki se odkrito promovira na Telegramu. Razvijalec trdi, da je orodje globalno delujoče, popolnoma nezaznavno in združljivo z vsemi sistemi PoS, ki podpirajo NFC. Oglašujejo tudi tesne povezave z drugimi družinami zlonamerne programske opreme, vključno z BTMOB in GhostSpy.
Del rastočega podzemnega ekosistema goljufij NFC
NFU Pay je le eno od številnih nezakonitih orodij za prenos NFC na trgu, poleg orodij, kot so SuperCard X, KingNFC in X/Z/TX-NFC. Širjenje teh orodij prinaša nova tveganja za regionalne banke in finančne institucije, saj globalnim akterjem groženj omogoča, da zaobidejo jezikovne, kulturne in tehnične ovire, ki so prej omejevale napade. Ta širitev znatno otežuje odkrivanje in preprečevanje goljufij.
Jugovzhodna Azija: žarišče izkoriščanja NFC
Raziskovalci opozarjajo, da se je jugovzhodna Azija pojavila kot poligon za goljufije, ki temeljijo na NFC. V državah, kot so Filipini, so takšni napadi še posebej učinkoviti zaradi porasta brezstičnih plačil in razširjenosti transakcij nizkih vrednosti, ki pogosto zaobidejo preverjanje PIN-a.
Pogosta podzemna orodja, ki omogočajo goljufije NFC, vključujejo:
- Z-NFC in X-NFC – Znana po kloniranju in uporabi ukradenih podatkov kartic v transakcijah v realnem času.
- SuperCard X in Track2NFC – Široko dostopni na forumih temnega spleta in v zasebnih klepetalnicah, napadalcem omogočata izvajanje nepooblaščenih brezstičnih plačil.
Transakcije iz teh napadov so pogosto videti legitimne, saj izvirajo iz overjenih naprav, zaradi česar je odkrivanje in preprečevanje zahtevno, zlasti v finančnih sistemih v realnem času.
