PhantomCard Mobile Malware
Natuklasan ng mga mananaliksik sa cybersecurity ang isang mapanganib na bagong Android Trojan na pinangalanang PhantomCard. Sinasamantala ng sopistikadong malware na ito ang teknolohiya ng near-field communication (NFC) para magsagawa ng mga relay attack, na nagbibigay-daan sa mga kriminal na gumawa ng mga mapanlinlang na transaksyon sa pamamagitan ng halos "pag-clone" ng mga banking card ng mga biktima.
Talaan ng mga Nilalaman
Paano Gumagana ang PhantomCard
Gumagana ang PhantomCard sa pamamagitan ng pag-relay ng data ng NFC mula sa card ng biktima patungo sa device ng isang kriminal, na nagbibigay-daan sa umaatake na gamitin ang card na parang ito ay pisikal na hawak nila. Ang disenyo ng malware ay batay sa NFC na binuo ng China na malware-as-a-service, partikular sa platform ng NFU Pay.
Ang nakakahamak na app, na itinago bilang Proteção Cartões, ay ipinamamahagi sa pamamagitan ng mga pekeng web page ng Google Play na ginagaya ang mga lehitimong serbisyo sa proteksyon ng card. Ang mga page na ito ay pinahusay ng mga pekeng positibong review para mapalakas ang kredibilidad. Habang ang eksaktong paraan ng pamamahagi ay nananatiling hindi alam, malamang na ginagamit ang smishing o katulad na mga taktika sa social engineering.
Kapag na-install na, ipo-prompt ng app ang biktima na ilagay ang kanilang credit o debit card sa likod ng kanilang telepono para sa 'pag-verify.' Kapag ang interface ay nagpakita ng ' Card Detected!,' ang malware ay magsisimulang magpadala ng data ng NFC sa isang remote na server na kinokontrol ng attacker. Pagkatapos ay hihilingin ng app sa user na ipasok ang kanilang PIN, na agad na ipinadala sa kriminal upang pahintulutan ang mga totoong transaksyon sa isang PoS terminal o ATM.
Ang Papel ng Mule sa Scheme
Sa panig ng kriminal, ang isang mule device ay nagpapatakbo ng kaukulang application na idinisenyo upang matanggap ang ninakaw na data ng card. Tinitiyak ng setup na ito ang maayos na komunikasyon sa pagitan ng PoS terminal at card ng biktima, na epektibong ginagawang posible para sa mga umaatake na gamitin ang mga ninakaw na kredensyal sa real time.
Ang developer ng malware, na kilala online bilang Go1ano, ay kilala sa Brazil para sa muling pagbebenta ng mga banta sa Android. Pansinin ng mga mananaliksik na ang PhantomCard ay mahalagang repackaged na bersyon ng serbisyo ng Chinese NFU Pay, na hayagang pino-promote sa Telegram. Sinasabi ng developer na ang tool ay gumagana sa buong mundo, ganap na hindi nade-detect, at tugma sa lahat ng PoS system na naka-enable ang NFC. Nag-a-advertise din sila ng malapit na kaugnayan sa iba pang mga pamilya ng malware, kabilang ang BTMOB at GhostSpy.
Bahagi ng Lumalagong Underground NFC Fraud Ecosystem
Ang NFU Pay ay isa lamang sa ilang ilegal na NFC relay tool sa merkado, kasama ng mga pangalan tulad ng SuperCard X, KingNFC, at X/Z/TX-NFC. Ang pagkalat ng mga tool na ito ay nagdudulot ng mga bagong panganib sa mga panrehiyong bangko at institusyong pampinansyal sa pamamagitan ng pagbibigay-daan sa mga pandaigdigang banta ng aktor na lampasan ang mga hadlang sa wika, kultura, at teknikal na dating naglilimita sa mga pag-atake. Ang pagpapalawak na ito ay makabuluhang nagpapalubha sa pagtuklas at pag-iwas sa pandaraya.
Southeast Asia: Isang Hotbed para sa NFC Exploitation
Nagbabala ang mga mananaliksik na ang Timog-silangang Asya ay lumitaw bilang isang lugar ng pagsubok para sa pandaraya na nakabase sa NFC. Sa mga bansang tulad ng Pilipinas, ang pagtaas ng mga contactless na pagbabayad at ang paglaganap ng mga transaksyong mababa ang halaga na kadalasang lumalampas sa mga tseke ng PIN ay ginagawang partikular na epektibo ang mga naturang pag-atake.
Kasama sa mga karaniwang underground na tool na nagpapagana sa panloloko ng NFC:
- Z-NFC at X-NFC – Kilala sa pag-clone at paggamit ng ninakaw na data ng card sa mga real-time na transaksyon.
- SuperCard X at Track2NFC – Malawakang available sa mga dark web forum at pribadong chat group, pinapayagan nito ang mga attacker na magsagawa ng hindi awtorisadong mga contactless na pagbabayad.
Ang mga transaksyon mula sa mga pag-atakeng ito ay kadalasang lumalabas na lehitimo, na nagmumula sa mga napatotohanang device, na ginagawang mahirap ang pagtuklas at pag-iwas, lalo na sa mga real-time na sistema ng pananalapi.
