PhantomCard 行動惡意軟體

網路安全研究人員發現了一種名為 PhantomCard 的危險新型 Android 木馬。這款複雜的惡意軟體利用近場通訊 (NFC) 技術進行中繼攻擊，使犯罪分子能夠透過虛擬「複製」受害者的銀行卡進行詐欺交易。

PhantomCard 的運作方式

PhantomCard 的工作原理是將受害者卡片上的 NFC 資料轉發到犯罪分子的設備，使攻擊者能夠像實際持有卡片一樣使用該卡片。該惡意軟體的設計是基於中國開發的 NFC 中繼惡意軟體即服務，具體來說是 NFU Pay 平台。

這款惡意應用程式偽裝成“Proteção Cartões”，透過冒充合法信用卡保護服務的虛假 Google Play 網頁進行傳播。這些網頁還添加了虛假的正面評價，以提高可信度。雖然確切的傳播方式尚不清楚，但很可能使用了簡訊網路釣魚或類似的社會工程手段。

安裝後，該應用程式會提示受害者將信用卡或金融卡放在手機背面進行「驗證」。當介面顯示「偵測到卡片！」時，惡意軟體開始將 NFC 資料傳輸到攻擊者控制的遠端伺服器。然後，該應用程式會要求使用者輸入 PIN 碼，PIN 碼會立即發送給犯罪分子，以授權在 PoS 終端機或 ATM 機上進行真實交易。

騾子在陰謀中扮演的角色

在犯罪分子方面，騾子設備會運行相應的應用程序，用於接收被盜的卡片資料。這種設置確保了 PoS 終端和受害者卡之間的順暢通信，從而有效地使攻擊者能夠即時使用被盜的憑證。

該惡意軟體開發者名為 Go1ano，在巴西因轉售 Android 威脅而臭名昭著。研究人員指出，PhantomCard 本質上是中國 NFU Pay 服務的重新包裝版本，該服務在 Telegram 上公開推廣。開發者聲稱該工具在全球範圍內均可使用，完全無法檢測，並且與所有支援 NFC 的 PoS 系統相容。他們也宣稱與其他惡意軟體家族（包括 BTMOB 和 GhostSpy）關係密切。

日益壯大的地下 NFC 詐欺生態系統的一部分

NFU Pay 只是市面上眾多非法 NFC 中繼工具之一，其他類似工具還包括 SuperCard X、KingNFC 和 X/Z/TX-NFC。這些工具的傳播使全球威脅行為者能夠繞過先前限制攻擊的語言、文化和技術障礙，從而為區域性銀行和金融機構帶來了新的風險。這種擴張大大增加了詐欺偵測和預防的難度。

東南亞：NFC攻擊的溫床

研究人員警告稱，東南亞已成為NFC詐欺的試驗場。在菲律賓等國家，非接觸式支付的興起以及經常繞過PIN碼驗證的小額交易的盛行，使得此類攻擊尤為有效。

常見的NFC詐騙地下工具包括：

• Z-NFC 和 X-NFC – 因克隆和在即時交易中使用被盜卡資料而聞名。
• SuperCard X 和 Track2NFC——在暗網論壇和私人聊天群中廣泛存在，它們允許攻擊者進行未經授權的非接觸式支付。

這些攻擊的交易通常看起來是合法的，源自於經過身份驗證的設備，這使得檢測和預防變得具有挑戰性，尤其是在即時金融系統中。