Phần mềm độc hại di động PhantomCard

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại Trojan Android mới nguy hiểm có tên PhantomCard. Phần mềm độc hại tinh vi này khai thác công nghệ giao tiếp tầm gần (NFC) để thực hiện các cuộc tấn công chuyển tiếp, cho phép tội phạm thực hiện các giao dịch gian lận bằng cách "sao chép" gần như toàn bộ thẻ ngân hàng của nạn nhân.

PhantomCard hoạt động như thế nào

PhantomCard hoạt động bằng cách chuyển tiếp dữ liệu NFC từ thẻ của nạn nhân đến thiết bị của tội phạm, cho phép kẻ tấn công sử dụng thẻ như thể chúng đang sở hữu nó. Thiết kế của phần mềm độc hại này dựa trên phần mềm độc hại chuyển tiếp NFC dưới dạng dịch vụ do Trung Quốc phát triển, cụ thể là nền tảng NFU Pay.

Ứng dụng độc hại, được ngụy trang dưới dạng Proteção Cartões, được phân phối thông qua các trang web Google Play giả mạo các dịch vụ bảo vệ thẻ hợp pháp. Các trang này được bổ sung thêm các đánh giá tích cực giả mạo để tăng độ tin cậy. Mặc dù phương thức phát tán chính xác vẫn chưa được biết, nhưng nhiều khả năng chúng đã sử dụng tin nhắn giả mạo hoặc các chiến thuật kỹ thuật xã hội tương tự.

Sau khi cài đặt, ứng dụng sẽ nhắc nạn nhân đặt thẻ tín dụng hoặc thẻ ghi nợ lên mặt sau điện thoại để "xác minh". Khi giao diện hiển thị "Đã phát hiện thẻ!", phần mềm độc hại bắt đầu truyền dữ liệu NFC đến máy chủ từ xa do kẻ tấn công điều khiển. Sau đó, ứng dụng yêu cầu người dùng nhập mã PIN, mã PIN này sẽ được gửi ngay lập tức cho tội phạm để xác thực các giao dịch thực tế tại máy POS hoặc ATM.

Vai trò của con la trong kế hoạch

Về phía tội phạm, một thiết bị mule chạy một ứng dụng tương ứng được thiết kế để nhận dữ liệu thẻ bị đánh cắp. Thiết lập này đảm bảo giao tiếp thông suốt giữa máy POS và thẻ của nạn nhân, cho phép kẻ tấn công sử dụng thông tin đăng nhập bị đánh cắp theo thời gian thực.

Nhà phát triển phần mềm độc hại, được biết đến trực tuyến với tên gọi Go1ano, khét tiếng ở Brazil vì bán lại các mối đe dọa Android. Các nhà nghiên cứu lưu ý rằng PhantomCard về cơ bản là phiên bản đóng gói lại của dịch vụ NFU Pay của Trung Quốc, được quảng bá công khai trên Telegram. Nhà phát triển tuyên bố công cụ này hoạt động toàn cầu, hoàn toàn không thể phát hiện và tương thích với tất cả các hệ thống POS hỗ trợ NFC. Họ cũng quảng cáo có mối liên hệ chặt chẽ với các họ phần mềm độc hại khác, bao gồm BTMOB và GhostSpy.

Một phần của hệ sinh thái gian lận NFC ngầm đang phát triển

NFU Pay chỉ là một trong số nhiều công cụ chuyển tiếp NFC bất hợp pháp trên thị trường, bên cạnh những cái tên như SuperCard X, KingNFC và X/Z/TX-NFC. Sự lan rộng của các công cụ này mang đến những rủi ro mới cho các ngân hàng và tổ chức tài chính khu vực bằng cách cho phép các tác nhân đe dọa toàn cầu vượt qua các rào cản ngôn ngữ, văn hóa và kỹ thuật vốn trước đây hạn chế các cuộc tấn công. Sự mở rộng này làm phức tạp đáng kể việc phát hiện và ngăn chặn gian lận.

Đông Nam Á: Điểm nóng khai thác NFC

Các nhà nghiên cứu cảnh báo rằng Đông Nam Á đang nổi lên như một địa bàn thử nghiệm cho các vụ lừa đảo dựa trên NFC. Tại các quốc gia như Philippines, sự gia tăng thanh toán không tiếp xúc và sự phổ biến của các giao dịch giá trị thấp thường bỏ qua khâu kiểm tra mã PIN khiến các cuộc tấn công như vậy đặc biệt hiệu quả.

Các công cụ ngầm phổ biến cho phép gian lận NFC bao gồm:

• Z-NFC và X-NFC – Được biết đến với khả năng sao chép và sử dụng dữ liệu thẻ bị đánh cắp trong các giao dịch thời gian thực.
• SuperCard X và Track2NFC – Có sẵn rộng rãi trên các diễn đàn dark web và nhóm trò chuyện riêng tư, cho phép kẻ tấn công thực hiện thanh toán không tiếp xúc trái phép.

Các giao dịch từ các cuộc tấn công này thường có vẻ hợp pháp, xuất phát từ các thiết bị đã được xác thực, khiến việc phát hiện và ngăn chặn trở nên khó khăn, đặc biệt là trong các hệ thống tài chính thời gian thực.