PhantomCard mobil skadlig programvara
Cybersäkerhetsforskare har upptäckt en farlig ny Android-trojan vid namn PhantomCard. Denna sofistikerade skadliga kod utnyttjar NFC-teknik (Near-Field Communication) för att utföra reläattacker, vilket gör det möjligt för brottslingar att göra bedrägliga transaktioner genom att virtuellt "klona" offrens bankkort.
Innehållsförteckning
Hur PhantomCard fungerar
PhantomCard fungerar genom att vidarebefordra NFC-data från ett offers kort till en brottslings enhet, vilket gör att angriparen kan använda kortet som om det fysiskt vore i deras besittning. Skadlig programvaras design är baserad på den kinesiskutvecklade NFC-relä-skadlig programvara som en tjänst, specifikt NFU Pay-plattformen.
Den skadliga appen, förklädd till Proteção Cartões, distribueras via falska Google Play-webbsidor som imiterar legitima kortskyddstjänster. Dessa sidor är förstärkta med falska positiva recensioner för att öka trovärdigheten. Även om den exakta distributionsmetoden förblir okänd, används sannolikt smishing eller liknande social engineering-taktiker.
När appen är installerad uppmanas offret att placera sitt kredit- eller betalkort på baksidan av telefonen för "verifiering". När gränssnittet visar "Kort upptäckt!" börjar skadlig kod överföra NFC-data till en server som kontrolleras av en fjärrangripare. Appen ber sedan användaren att ange sin PIN-kod, som omedelbart skickas till brottslingen för att godkänna verkliga transaktioner vid en kassaterminal eller bankomat.
Mulans roll i planen
På brottslingens sida kör en mule-enhet en motsvarande applikation som är utformad för att ta emot den stulna kortinformationen. Denna installation säkerställer smidig kommunikation mellan PoS-terminalen och offrets kort, vilket effektivt gör det möjligt för angripare att använda de stulna inloggningsuppgifterna i realtid.
Utvecklaren av skadlig kod, känd online som Go1ano, är ökänd i Brasilien för att sälja vidare Android-hot. Forskare noterar att PhantomCard i huvudsak är en ompaketerad version av den kinesiska NFU Pay-tjänsten, som öppet marknadsförs på Telegram. Utvecklaren hävdar att verktyget är globalt funktionellt, helt oupptäckbart och kompatibelt med alla NFC-aktiverade PoS-system. De annonserar också nära band med andra familjer av skadlig kod, inklusive BTMOB och GhostSpy.
En del av ett växande underjordiskt ekosystem för NFC-bedrägerier
NFU Pay är bara ett av flera illegala NFC-reläverktyg på marknaden, tillsammans med namn som SuperCard X, KingNFC och X/Z/TX-NFC. Spridningen av dessa verktyg medför nya risker för regionala banker och finansinstitut genom att göra det möjligt för globala hotaktörer att kringgå språkliga, kulturella och tekniska hinder som tidigare begränsade attacker. Denna expansion komplicerar avsevärt upptäckt och förebyggande av bedrägerier.
Sydostasien: En grogrund för NFC-exploatering
Forskare varnar för att Sydostasien har framstått som en testplats för NFC-baserade bedrägerier. I länder som Filippinerna gör ökningen av kontaktlösa betalningar och förekomsten av transaktioner med lågt belopp som ofta kringgår PIN-kontroller sådana attacker särskilt effektiva.
Vanliga underjordiska verktyg som möjliggör NFC-bedrägerier inkluderar:
- Z-NFC och X-NFC – Kända för att klona och använda stulna kortdata i realtidstransaktioner.
- SuperCard X och Track2NFC – Brett tillgängliga i dark web-forum och privata chattgrupper, dessa gör det möjligt för angripare att utföra obehöriga kontaktlösa betalningar.
Transaktionerna från dessa attacker verkar ofta legitima och härröra från autentiserade enheter, vilket gör det svårt att upptäcka och förebygga dem, särskilt i finansiella system i realtid.
