มัลแวร์มือถือ PhantomCard

นักวิจัยด้านความปลอดภัยไซเบอร์ค้นพบโทรจันแอนดรอยด์ตัวใหม่อันตรายที่ชื่อว่า PhantomCard มัลแวร์ที่ซับซ้อนนี้ใช้ประโยชน์จากเทคโนโลยีการสื่อสารระยะใกล้ (NFC) เพื่อดำเนินการโจมตีแบบรีเลย์ ทำให้อาชญากรสามารถทำธุรกรรมฉ้อโกงได้ด้วยการ "โคลน" บัตรธนาคารของเหยื่อแบบเสมือนจริง

PhantomCard ทำงานอย่างไร

PhantomCard ทำงานโดยการส่งต่อข้อมูล NFC จากบัตรของเหยื่อไปยังอุปกรณ์ของอาชญากร ทำให้ผู้โจมตีสามารถใช้บัตรได้ราวกับว่าพวกเขาเป็นเจ้าของบัตรจริง ๆ การออกแบบของมัลแวร์นี้ใช้พื้นฐานจาก NFC relay malware-as-a-service ที่พัฒนาโดยจีน โดยเฉพาะแพลตฟอร์ม NFU Pay

แอปอันตรายที่ปลอมตัวเป็น Proteção Cartões ถูกเผยแพร่ผ่านหน้าเว็บ Google Play ปลอมที่เลียนแบบบริการป้องกันบัตรเครดิตที่ถูกกฎหมาย หน้าเว็บเหล่านี้ได้รับการเสริมแต่งด้วยรีวิวเชิงบวกปลอมๆ เพื่อเพิ่มความน่าเชื่อถือ แม้ว่าวิธีการเผยแพร่ที่แน่ชัดยังไม่เป็นที่ทราบแน่ชัด แต่มีแนวโน้มว่ามีการใช้การหลอกลวงทาง SMS หรือกลวิธีทางวิศวกรรมสังคมที่คล้ายคลึงกัน

เมื่อติดตั้งแล้ว แอปจะแจ้งให้เหยื่อวางบัตรเครดิตหรือเดบิตไว้ด้านหลังโทรศัพท์เพื่อ "ยืนยันตัวตน" เมื่ออินเทอร์เฟซแสดงข้อความ "ตรวจพบบัตร!" มัลแวร์จะเริ่มส่งข้อมูล NFC ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมจากระยะไกล จากนั้นแอปจะขอให้ผู้ใช้ป้อนรหัส PIN ซึ่งจะถูกส่งไปยังอาชญากรทันทีเพื่ออนุมัติการทำธุรกรรมจริงที่เครื่อง PoS หรือตู้ ATM

บทบาทของล่อในโครงการ

ฝั่งของอาชญากร อุปกรณ์ล่อจะรันแอปพลิเคชันที่เกี่ยวข้องซึ่งออกแบบมาเพื่อรับข้อมูลบัตรที่ถูกขโมย การตั้งค่านี้ช่วยให้การสื่อสารระหว่างเครื่อง PoS และบัตรของเหยื่อเป็นไปอย่างราบรื่น ทำให้ผู้โจมตีสามารถใช้ข้อมูลประจำตัวที่ถูกขโมยได้แบบเรียลไทม์

ผู้พัฒนามัลแวร์ที่รู้จักกันในชื่อออนไลน์ว่า Go1ano มีชื่อเสียงโด่งดังในบราซิลจากการขายภัยคุกคามบน Android นักวิจัยตั้งข้อสังเกตว่า PhantomCard นั้นเป็นเวอร์ชันที่ปรับปรุงใหม่ของบริการ NFU Pay ของจีน ซึ่งมีการโปรโมตอย่างเปิดเผยบน Telegram ผู้พัฒนาอ้างว่าเครื่องมือนี้ใช้งานได้ทั่วโลก ตรวจจับไม่ได้ และใช้งานได้กับระบบ PoS ที่รองรับ NFC ทั้งหมด พวกเขายังโฆษณาว่ามีความสัมพันธ์ใกล้ชิดกับมัลแวร์ตระกูลอื่นๆ รวมถึง BTMOB และ GhostSpy

ส่วนหนึ่งของระบบนิเวศการฉ้อโกง NFC ใต้ดินที่กำลังเติบโต

NFU Pay เป็นเพียงหนึ่งในเครื่องมือถ่ายทอด NFC ที่ผิดกฎหมายหลายตัวในตลาด ควบคู่ไปกับเครื่องมือชื่อดังอย่าง SuperCard X, KingNFC และ X/Z/TX-NFC การแพร่กระจายของเครื่องมือเหล่านี้นำมาซึ่งความเสี่ยงใหม่ๆ ให้กับธนาคารและสถาบันการเงินในภูมิภาค โดยช่วยให้ผู้ก่อภัยคุกคามทั่วโลกสามารถหลีกเลี่ยงอุปสรรคด้านภาษา วัฒนธรรม และเทคนิคที่ก่อนหน้านี้จำกัดการโจมตีได้ การขยายตัวนี้ทำให้การตรวจจับและป้องกันการฉ้อโกงมีความซับซ้อนมากขึ้น

เอเชียตะวันออกเฉียงใต้: แหล่งรวมการใช้ประโยชน์จาก NFC

นักวิจัยเตือนว่าเอเชียตะวันออกเฉียงใต้ได้กลายเป็นพื้นที่ทดสอบการฉ้อโกงผ่าน NFC ในประเทศอย่างฟิลิปปินส์ การเพิ่มขึ้นของการชำระเงินแบบไร้สัมผัสและธุรกรรมมูลค่าต่ำที่มักเลี่ยงการตรวจสอบรหัส PIN ทำให้การโจมตีประเภทนี้มีประสิทธิภาพอย่างยิ่ง

เครื่องมือใต้ดินทั่วไปที่ทำให้เกิดการฉ้อโกง NFC ได้แก่:

• Z-NFC และ X-NFC – เป็นที่รู้จักในการโคลนและใช้ข้อมูลบัตรที่ขโมยมาในการทำธุรกรรมแบบเรียลไทม์
• SuperCard X และ Track2NFC – มีให้ใช้อย่างแพร่หลายในฟอรัมเว็บมืดและกลุ่มแชทส่วนตัว ซึ่งทำให้ผู้โจมตีสามารถทำการชำระเงินแบบไร้สัมผัสโดยไม่ได้รับอนุญาต

ธุรกรรมจากการโจมตีเหล่านี้มักจะปรากฏเป็นของจริง โดยมีต้นทางมาจากอุปกรณ์ที่ผ่านการตรวจสอบ ซึ่งทำให้การตรวจจับและป้องกันเป็นเรื่องท้าทาย โดยเฉพาะในระบบการเงินแบบเรียลไทม์