Android este Tinta unui Nou Malware Extrem de Periculos pentru Telefoane

Cercetatorii in securitate cibernetica au semnalat aparitia unui nou troian Android, denumit PhantomCard, care abuzeaza comunicarea NFC pentru a realiza atacuri de tip retransmisie in vederea facilitarii tranzactiilor frauduloase.

Tintele vizate sunt clientii bancari din Brazilia, iar mecanismul ales transforma telefonul victimei intr-un intermediar intre cardul fizic si un terminal PoS sau un ATM aflat in proximitatea infractorului. Alerta vine dintr-un raport ThreatFabric, care descrie PhantomCard drept o componenta Android ce valorifica un serviciu de tip malware-as-a-service de origine chineza axat pe retransmisia datelor NFC.

Conform aceleiasi surse, troianul Android este distribuit prin pagini web false care imita magazinul Google Play si se prezinta drept aplicatii de protectie a cardurilor. Numele folosit pentru a insela potentialele victime este „Protecao Cartoes”, iar in spate se regasesc pachetele cu identificatori „com.nfupay.s145” si „com.rc888.baxi.English”.

Pentru a castiga credibilitate, paginile clone afiseaza recenzii false, formulate pozitiv, menite sa convinga utilizatorii Android sa instaleze aplicatia. Nu este clar prin ce canale ajung aceste legaturi la public, insa este probabil vorba despre smishing sau alte tactici de inginerie sociala.

Odata instalata pe un dispozitiv Android modern, aplicatia le cere utilizatorilor sa aseze cardul bancar pe spatele telefonului „pentru verificare”. Interfata confirma ca un card a fost detectat si invita victima sa il mentina lipit pana la finalizarea „autentificarii”.

Android este Tinta unui Nou Malware Extrem de Periculos pentru Telefoane

In realitate, datele citite prin NFC sunt retransmise catre un server controlat de atacator. Pasul urmator este solicitarea codului PIN, pe care aplicatia il colecteaza si il transmite catre operatorul retelei infractionale, oferindu-i acestuia elementele necesare pentru a autoriza tranzactii.

Astfel, PhantomCard creeaza un canal intre cardul fizic al utilizatorului si terminalul PoS ori bancomatul de langa infractor, permitandu-i acestuia sa „foloseasca” cardul victimei ca si cum l-ar avea in mana. Ecosistemul fraudulos include si o aplicatie pentru „mules”, instalata pe dispozitivul folosit de complici, care receptioneaza informatiile si asigura comunicarea lina intre terminalul de plata si cardul victimei, intr-o maniera similara cu ceea ce a mai fost observat la proiecte ca SuperCard X.

ThreatFabric atribuie distributia PhantomCard unui actor cunoscut in mediul Android din Brazilia, dezvoltatorul Go1ano, descris drept un furnizor in serie de amenintari locale. Totodata, cercetatorii sustin ca PhantomCard este, in esenta, o implementare ce se sprijina pe o oferta chinezeasca de malware-as-a-service denumita NFU Pay, promovata pe Telegram.

Pe propriul canal, Go1ano afirma ca solutia functioneaza la nivel global, ar fi „nedetectabila” si compatibila cu toate terminalele PoS cu NFC, pozitionandu-se, in plus, ca „partener de incredere” pentru alte familii de malware cunoscute in zona, precum BTMOB si GhostSpy.

Aparitia PhantomCard subliniaza vulnerabilitatile exploatabile in ecosistemul Android atunci cand utilizatorii sunt atrasi catre pagini si aplicatii inselatoare. Chiar daca investigatia evidentiaza in special incidenta in Brazilia, natura serviciului de retransmisie NFC si modelul de afaceri malware-as-a-service sugereaza ca vectorul poate fi reutilizat cu usurinta in alte piete, acolo unde telefoanele Android cu cititoare NFC si terminalele contactless sunt larg raspandite.

Pentru moment, concluzia cercetatorilor este limpede: PhantomCard reprezinta un risc real pentru platile contactless pe Android atunci cand utilizatorii sunt pacaliti sa instaleze aplicatii mascate drept instrumente de securitate.