PhantomCard 移动恶意软件
网络安全研究人员发现了一种名为 PhantomCard 的危险新型 Android 木马。这款复杂的恶意软件利用近场通信 (NFC) 技术进行中继攻击,使犯罪分子能够通过虚拟“克隆”受害者的银行卡进行欺诈交易。
目录
PhantomCard 的运作方式
PhantomCard 的工作原理是将受害者卡片上的 NFC 数据转发到犯罪分子的设备,使攻击者能够像实际持有卡片一样使用该卡片。该恶意软件的设计基于中国开发的 NFC 中继恶意软件即服务,具体来说是 NFU Pay 平台。
这款恶意应用伪装成“Proteção Cartões”,通过冒充合法信用卡保护服务的虚假 Google Play 网页进行传播。这些网页还添加了虚假的正面评价,以提高可信度。虽然确切的传播方式尚不清楚,但很可能使用了短信网络钓鱼或类似的社会工程学手段。
安装后,该应用程序会提示受害者将信用卡或借记卡放在手机背面进行“验证”。当界面显示“检测到卡!”时,恶意软件开始将 NFC 数据传输到攻击者控制的远程服务器。然后,该应用程序会要求用户输入 PIN 码,PIN 码会立即发送给犯罪分子,以授权在 PoS 终端或 ATM 机上进行真实交易。
骡子在阴谋中扮演的角色
在犯罪分子方面,骡子设备会运行相应的应用程序,用于接收被盗的卡数据。这种设置确保了 PoS 终端和受害者卡之间的顺畅通信,从而有效地使攻击者能够实时使用被盗的凭证。
该恶意软件开发者名为 Go1ano,在巴西因转售 Android 威胁而臭名昭著。研究人员指出,PhantomCard 本质上是中国 NFU Pay 服务的重新包装版本,该服务在 Telegram 上公开推广。开发者声称该工具在全球范围内均可使用,完全无法检测,并且与所有支持 NFC 的 PoS 系统兼容。他们还宣称与其他恶意软件家族(包括 BTMOB 和 GhostSpy)关系密切。
日益壮大的地下 NFC 欺诈生态系统的一部分
NFU Pay 只是市面上众多非法 NFC 中继工具之一,其他类似工具还包括 SuperCard X、KingNFC 和 X/Z/TX-NFC。这些工具的传播使全球威胁行为者能够绕过此前限制攻击的语言、文化和技术障碍,从而给区域性银行和金融机构带来了新的风险。这种扩张极大地增加了欺诈检测和预防的难度。
东南亚:NFC攻击的温床
研究人员警告称,东南亚已成为NFC欺诈的试验场。在菲律宾等国家,非接触式支付的兴起以及经常绕过PIN码验证的小额交易的盛行,使得此类攻击尤为有效。
常见的NFC诈骗地下工具包括:
- Z-NFC 和 X-NFC – 因克隆和在实时交易中使用被盗卡数据而闻名。
- SuperCard X 和 Track2NFC——在暗网论坛和私人聊天群中广泛存在,它们允许攻击者进行未经授权的非接触式支付。
这些攻击的交易通常看起来是合法的,源自经过身份验证的设备,这使得检测和预防变得具有挑战性,尤其是在实时金融系统中。
