PhantomCard Mobile Malware

Studiuesit e sigurisë kibernetike kanë zbuluar një trojan të ri të rrezikshëm për Android të quajtur PhantomCard. Ky program keqdashës i sofistikuar shfrytëzon teknologjinë e komunikimit në fushë të afërt (NFC) për të kryer sulme rele, duke u mundësuar kriminelëve të kryejnë transaksione mashtruese duke "klonuar" virtualisht kartat bankare të viktimave.

Si funksionon PhantomCard

PhantomCard funksionon duke transmetuar të dhënat NFC nga karta e viktimës në pajisjen e kriminelit, duke i lejuar sulmuesit ta përdorë kartën sikur të ishte fizikisht në zotërimin e tij. Dizajni i programit keqdashës bazohet në programin keqdashës si shërbim të zhvilluar në Kinë për transmetimin e NFC-së, konkretisht në platformën NFU Pay.

Aplikacioni keqdashës, i maskuar si Proteção Cartões, shpërndahet përmes faqeve të rreme të Google Play që imitojnë shërbime legjitime të mbrojtjes së kartave. Këto faqe janë të pasuruara me vlerësime pozitive të rreme për të rritur besueshmërinë. Ndërsa metoda e saktë e shpërndarjes mbetet e panjohur, ka të ngjarë të përdoren taktika të ngjashme të inxhinierisë sociale ose taktika të ngjashme.

Pasi instalohet, aplikacioni i kërkon viktimës të vendosë kartën e kreditit ose debitit në pjesën e pasme të telefonit për 'verifikim'. Kur ndërfaqja shfaq 'Karta u zbulua!', malware fillon të transmetojë të dhëna NFC në një server të kontrolluar nga një sulmues në distancë. Aplikacioni më pas i kërkon përdoruesit të fusë PIN-in e tij, i cili i dërgohet menjëherë kriminelit për të autorizuar transaksione në botën reale në një terminal PoS ose ATM.

Roli i Mushkës në Skemë

Nga ana e kriminelit, një pajisje mule ekzekuton një aplikacion përkatës të projektuar për të marrë të dhënat e kartës së vjedhur. Ky konfigurim siguron komunikim të qetë midis terminalit PoS dhe kartës së viktimës, duke ua bërë të mundur në mënyrë efektive sulmuesve përdorimin e kredencialeve të vjedhura në kohë reale.

Zhvilluesi i malware-it, i njohur në internet si Go1ano, është i njohur në Brazil për rishitjen e kërcënimeve për Android. Studiuesit vërejnë se PhantomCard është në thelb një version i ripaketuar i shërbimit kinez NFU Pay, i cili promovohet hapur në Telegram. Zhvilluesi pretendon se mjeti është globalisht funksional, plotësisht i pazbulueshëm dhe i pajtueshëm me të gjitha sistemet PoS të aktivizuara me NFC. Ata gjithashtu reklamojnë lidhje të ngushta me familje të tjera të malware-it, duke përfshirë BTMOB dhe GhostSpy.

Pjesë e një ekosistemi të fshehtë në rritje të mashtrimit NFC

NFU Pay është vetëm një nga disa mjete të paligjshme të transmetimit NFC në treg, së bashku me emra si SuperCard X, KingNFC dhe X/Z/TX-NFC. Përhapja e këtyre mjeteve sjell rreziqe të reja për bankat rajonale dhe institucionet financiare duke u mundësuar aktorëve globalë të kërcënimit të anashkalojnë barrierat gjuhësore, kulturore dhe teknike që më parë kufizonin sulmet. Ky zgjerim e ndërlikon ndjeshëm zbulimin dhe parandalimin e mashtrimeve.

Azia Juglindore: Një vatër për shfrytëzimin e NFC-së

Studiuesit paralajmërojnë se Azia Juglindore është shfaqur si një terren testimi për mashtrimet e bazuara në NFC. Në vende si Filipinet, rritja e pagesave pa kontakt dhe përhapja e transaksioneve me vlerë të ulët që shpesh anashkalojnë kontrollet e PIN-it i bëjnë sulme të tilla veçanërisht efektive.

Mjetet e zakonshme nëntokësore që mundësojnë mashtrimin me NFC përfshijnë:

• Z-NFC dhe X-NFC – Të njohur për klonimin dhe përdorimin e të dhënave të vjedhura të kartave në transaksione në kohë reale.
• SuperCard X dhe Track2NFC – Gjerësisht të disponueshme në forumet e internetit të errët dhe grupet private të bisedave, këto u lejojnë sulmuesve të kryejnë pagesa pa kontakt të paautorizuara.

Transaksionet nga këto sulme shpesh duken legjitime, duke buruar nga pajisje të autentifikuara, gjë që e bën zbulimin dhe parandalimin sfidues, veçanërisht në sistemet financiare në kohë reale.