Шкідливе програмне забезпечення для мобільних пристроїв PhantomCard
Дослідники з кібербезпеки виявили нового небезпечного Android-трояна під назвою PhantomCard. Це складне шкідливе програмне забезпечення використовує технологію ближнього радіозв'язку (NFC) для здійснення ретрансляційних атак, що дозволяє злочинцям здійснювати шахрайські транзакції шляхом віртуального «клонування» банківських карток жертв.
Зміст
Як працює PhantomCard
PhantomCard працює, передаючи дані NFC з картки жертви на пристрій злочинця, дозволяючи зловмиснику використовувати картку так, ніби вона фізично знаходиться в його володінні. Дизайн шкідливого програмного забезпечення базується на розробленій у Китаї платформі NFC-ретрансляції як шкідливій послузі, зокрема на платформі NFU Pay.
Шкідливий додаток, замаскований під Proteção Cartões, розповсюджується через підроблені веб-сторінки Google Play, які імітують легітимні сервіси захисту карток. Ці сторінки доповнюються фальшивими позитивними відгуками для підвищення довіри. Хоча точний метод розповсюдження залишається невідомим, ймовірно, використовується smishing або подібні тактики соціальної інженерії.
Після встановлення додаток пропонує жертві прикласти свою кредитну або дебетову картку до задньої панелі телефону для «перевірки». Коли на інтерфейсі відображається напис «Картку виявлено!», шкідливе програмне забезпечення починає передавати дані NFC на віддалений сервер, керований зловмисником. Потім додаток просить користувача ввести свій PIN-код, який негайно надсилається злочинцю для авторизації реальних транзакцій на PoS-терміналі або банкоматі.
Роль мула в схемі
З боку злочинця пристрій-мул запускає відповідний додаток, призначений для отримання даних викраденої картки. Така схема забезпечує безперебійний зв'язок між PoS-терміналом та карткою жертви, фактично надаючи зловмисникам можливість використовувати викрадені облікові дані в режимі реального часу.
Розробник шкідливого програмного забезпечення, відомий в Інтернеті як Go1ano, сумнозвісний у Бразилії перепродажем загроз для Android. Дослідники зазначають, що PhantomCard — це, по суті, перероблена версія китайського сервісу NFU Pay, який відкрито рекламується в Telegram. Розробник стверджує, що інструмент працює глобально, повністю невиявлюваний та сумісний з усіма системами PoS з підтримкою NFC. Він також рекламує тісні зв'язки з іншими сімействами шкідливих програм, включаючи BTMOB та GhostSpy.
Частина зростаючої підпільної екосистеми шахрайства NFC
NFU Pay — це лише один із кількох незаконних інструментів NFC-ретрансляції на ринку, поряд із такими назвами, як SuperCard X, KingNFC та X/Z/TX-NFC. Поширення цих інструментів створює нові ризики для регіональних банків та фінансових установ, дозволяючи глобальним зловмисникам обходити мовні, культурні та технічні бар'єри, які раніше обмежували атаки. Це розширення значно ускладнює виявлення та запобігання шахрайству.
Південно-Східна Азія: осередок експлуатації NFC
Дослідники попереджають, що Південно-Східна Азія стала випробувальним майданчиком для шахрайства на основі NFC. У таких країнах, як Філіппіни, зростання безконтактних платежів та поширеність транзакцій низької вартості, які часто обходять перевірку PIN-коду, роблять такі атаки особливо ефективними.
До поширених підпільних інструментів, що сприяють шахрайству з використанням NFC, належать:
- Z-NFC та X-NFC – відомі клонуванням та використанням викрадених даних карток у транзакціях у режимі реального часу.
- SuperCard X та Track2NFC – широко доступні на форумах даркнету та в приватних чатах, вони дозволяють зловмисникам здійснювати несанкціоновані безконтактні платежі.
Транзакції, здійснені в результаті цих атак, часто виглядають легітимними, оскільки вони надходять з автентифікованих пристроїв, що ускладнює їх виявлення та запобігання, особливо у фінансових системах реального часу.
