PhantomCard Mobil Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, PhantomCard adlı tehlikeli yeni bir Android Truva Atı'nı ortaya çıkardı. Bu gelişmiş kötü amaçlı yazılım, yakın alan iletişimi (NFC) teknolojisini kullanarak röle saldırıları gerçekleştiriyor ve suçluların kurbanların banka kartlarını sanal olarak "klonlayarak" sahte işlemler yapmalarını sağlıyor.
İçindekiler
PhantomCard Nasıl Çalışır?
PhantomCard, NFC verilerini kurbanın kartından suçlunun cihazına aktararak çalışır ve saldırganın kartı fiziksel olarak elindeymiş gibi kullanmasına olanak tanır. Kötü amaçlı yazılımın tasarımı, Çin'de geliştirilen NFC aktarım hizmeti olan kötü amaçlı yazılıma, özellikle de NFU Pay platformuna dayanmaktadır.
Proteção Cartões kisvesi altında gizlenen kötü amaçlı uygulama, meşru kart koruma hizmetlerini taklit eden sahte Google Play web sayfaları aracılığıyla dağıtılıyor. Bu sayfalar, güvenilirliği artırmak için sahte olumlu yorumlarla zenginleştiriliyor. Kesin dağıtım yöntemi henüz bilinmemekle birlikte, smishing veya benzeri sosyal mühendislik taktiklerinin kullanıldığı muhtemel.
Uygulama yüklendikten sonra, kurbandan kredi veya banka kartını "doğrulama" için telefonunun arkasına yerleştirmesini ister. Arayüzde "Kart Algılandı!" mesajı görüntülendiğinde, kötü amaçlı yazılım NFC verilerini saldırganın kontrolündeki uzak bir sunucuya iletmeye başlar. Uygulama daha sonra kullanıcıdan PIN kodunu girmesini ister ve bu kod, PoS terminali veya ATM'de gerçek dünyadaki işlemleri yetkilendirmek için hemen suçluya gönderilir.
Planda Katırın Rolü
Suçlu tarafında ise, bir katır cihazı, çalınan kart verilerini almak üzere tasarlanmış ilgili bir uygulamayı çalıştırır. Bu kurulum, PoS terminali ile mağdurun kartı arasında sorunsuz bir iletişim sağlayarak, saldırganların çalınan kimlik bilgilerini gerçek zamanlı olarak kullanmasını mümkün kılar.
İnternette Go1ano olarak bilinen kötü amaçlı yazılım geliştiricisi, Brezilya'da Android tehditlerini yeniden satmasıyla tanınıyor. Araştırmacılar, PhantomCard'ın esasen Telegram'da açıkça tanıtılan Çin NFU Pay hizmetinin yeniden paketlenmiş bir sürümü olduğunu belirtiyor. Geliştirici, aracın küresel olarak işlevsel olduğunu, tamamen tespit edilemediğini ve tüm NFC özellikli PoS sistemleriyle uyumlu olduğunu iddia ediyor. Ayrıca, BTMOB ve GhostSpy gibi diğer kötü amaçlı yazılım aileleriyle yakın bağları olduğunu da belirtiyor.
Büyüyen Yeraltı NFC Dolandırıcılık Ekosisteminin Bir Parçası
NFU Pay, SuperCard X, KingNFC ve X/Z/TX-NFC gibi isimlerle birlikte piyasadaki birçok yasadışı NFC aktarım aracından sadece biri. Bu araçların yaygınlaşması, küresel tehdit aktörlerinin daha önce saldırıları sınırlayan dil, kültür ve teknik engelleri aşmasını sağlayarak bölgesel bankalar ve finans kuruluşları için yeni riskler getiriyor. Bu yaygınlaşma, dolandırıcılık tespitini ve önlenmesini önemli ölçüde zorlaştırıyor.
Güneydoğu Asya: NFC İstismarının Merkezi
Araştırmacılar, Güneydoğu Asya'nın NFC tabanlı dolandırıcılık için bir test alanı haline geldiği konusunda uyarıyor. Filipinler gibi ülkelerde, temassız ödemelerdeki artış ve genellikle PIN kontrollerini atlatan düşük tutarlı işlemlerin yaygınlığı, bu tür saldırıları özellikle etkili kılıyor.
NFC dolandırıcılığını mümkün kılan yaygın yeraltı araçları şunlardır:
- Z-NFC ve X-NFC – Çalınan kart verilerini klonlayıp gerçek zamanlı işlemlerde kullanmalarıyla bilinirler.
- SuperCard X ve Track2NFC – Karanlık web forumlarında ve özel sohbet gruplarında yaygın olarak bulunan bu kartlar, saldırganların yetkisiz temassız ödemeler yapmasına olanak tanıyor.
Bu saldırılardan kaynaklanan işlemler çoğu zaman meşru gibi görünmekte ve kimliği doğrulanmış cihazlardan kaynaklanmakta olup, bu durum özellikle gerçek zamanlı finansal sistemlerde tespit ve önlemeyi zorlaştırmaktadır.
