Злонамерни софтвер за мобилне уређаје PhantomCard

Истраживачи сајбер безбедности открили су опасног новог Андроид тројанца под називом PhantomCard. Овај софистицирани малвер користи технологију комуникације блиског поља (NFC) за извођење релејних напада, омогућавајући криминалцима да обављају преварне трансакције виртуелним „клонирањем“ банковних картица жртава.

Како функционише PhantomCard

ФантомКард функционише тако што преноси NFC податке са картице жртве на уређај криминалца, омогућавајући нападачу да користи картицу као да је физички у његовом поседу. Дизајн малвера заснован је на NFC релеј малверу као услузи, који је развила Кина, тачније на NFU Pay платформи.

Злонамерна апликација, прерушена у Proteção Cartões, дистрибуира се путем лажних веб страница на Google Play-у које имитирају легитимне сервисе за заштиту картица. Ове странице су побољшане лажним позитивним рецензијама како би се повећао кредибилитет. Иако тачан метод дистрибуције остаје непознат, вероватно се користе „smishing“ или сличне тактике социјалног инжењеринга.

Једном инсталирана, апликација подстиче жртву да постави своју кредитну или дебитну картицу на полеђину телефона ради „верификације“. Када се на интерфејсу прикаже „Картица откривена!“, злонамерни софтвер почиње да преноси NFC податке на удаљени сервер којим управља нападач. Апликација затим тражи од корисника да унесе свој ПИН, који се одмах шаље криминалцу како би се одобриле трансакције у стварном свету на PoS терминалу или банкомату.

Улога мазге у шеми

На страни криминалца, уређај типа „мазга“ покреће одговарајућу апликацију дизајнирану за пријем украдених података са картице. Ова поставка обезбеђује несметану комуникацију између PoS терминала и картице жртве, ефикасно омогућавајући нападачима да користе украдене акредитиве у реалном времену.

Програмер злонамерног софтвера, познат на мрежи као Go1ano, озлоглашен је у Бразилу због препродаје претњи за Андроид. Истраживачи напомињу да је PhantomCard у суштини препакована верзија кинеске услуге NFU Pay, која се отворено промовише на Телеграму. Програмер тврди да је алат глобално функционалан, потпуно неоткривен и компатибилан са свим NFC-омогућеним PoS системима. Такође рекламирају блиске везе са другим породицама злонамерног софтвера, укључујући BTMOB и GhostSpy.

Део растућег подземног екосистема NFC превара

NFU Pay је само један од неколико илегалних NFC алата за релеј на тржишту, поред имена као што су SuperCard X, KingNFC и X/Z/TX-NFC. Ширење ових алата доноси нове ризике регионалним банкама и финансијским институцијама омогућавајући глобалним актерима претњи да заобиђу језичке, културне и техничке баријере које су раније ограничавале нападе. Ово ширење значајно компликује откривање и спречавање превара.

Југоисточна Азија: жариште за експлоатацију NFC-а

Истраживачи упозоравају да се Југоисточна Азија појавила као полигон за преваре засноване на NFC-у. У земљама попут Филипина, пораст бесконтактних плаћања и распрострањеност трансакција мале вредности које често заобилазе провере ПИН-а чине такве нападе посебно ефикасним.

Уобичајени подземни алати који омогућавају NFC превару укључују:

• Z-NFC и X-NFC – познати по клонирању и коришћењу украдених података са картица у трансакцијама у реалном времену.
• SuperCard X и Track2NFC – Широко доступни на форумима дарк веба и приватним групама за ћаскање, они омогућавају нападачима да врше неовлашћена бесконтактна плаћања.

Трансакције из ових напада често делују легитимно, потичући са аутентификованих уређаја, што отежава откривање и спречавање, посебно у финансијским системима у реалном времену.