Експерти по киберсигурност разкриха нов зловреден софтуер за Android – PhantomCard, който използва NFC технологията на телефона за извършване на т.нар. „relay“ атаки. Целта – да улеснява измамни транзакции срещу банкови клиенти в Бразилия.
Според компанията ThreatFabric, PhantomCard „препраща“ данни от банковата карта на жертвата директно към устройството на измамника. Зловредният код е базиран на китайска услуга за зловреден софтуер тип NFC relay malware-as-a-service.
Как се разпространява PhantomCard
Вредният софтуер се предлага чрез фалшиви страници, наподобяващи Google Play, които представят уж приложения за защита на карти. Най-често носят името Proteção Cartões с пакети „com.nfupay.s145“ или „com.rc888.baxi.English“.
Тези страници са пълни с измамни положителни отзиви, за да подмамят потребителя да инсталира приложението. Най-вероятно връзките към тях се разпространяват чрез SMS фишинг (smishing) или други методи за социално инженерство.
След инсталация приложението моли потребителя да постави банковата си карта на гърба на телефона, уж за „проверка“. Показва се съобщение „Card Detected! Keep the card nearby until authentication is complete“. В действителност данните от картата се изпращат към сървър на атакуващите. После жертвата е подканена да въведе ПИН кода, който също бива изпратен към измамниците.
Така PhantomCard създава директна връзка между физическата карта на жертвата и ПОС терминал или банкомат, до който стои измамникът. Това му позволява да плаща или тегли пари, сякаш държи картата в ръцете си. На страната на престъпника има друго приложение, което получава и „предава“ данните в реално време.
Кой стои зад атаките
Зад PhantomCard стои разработчик, известен като Go1ano, за когото се твърди, че редовно продава Android зловреден софтуер в Бразилия. Според експерти той използва китайската платформа NFU Pay, рекламирана в Telegram. Авторът твърди, че PhantomCard работи в цял свят, не може да бъде засечен и е съвместим с всички NFC терминали.
NFU Pay е само една от многото незаконни услуги, предлагащи подобни възможности – редом със:
Тези инструменти увеличават риска за местните банки, тъй като улесняват навлизането на чуждестранни престъпници, които иначе биха били възпрепятствани от езикови и културни бариери или специфики на финансовата система.
Проблемът далеч не е само в Бразилия
Наскоро Resecurity предупреди, че в Югоизточна Азия, особено във Филипините, се наблюдава бум на измами с NFC. Там престъпниците използват инструменти като:
за да клонират карти и да извършват неоторизирани плащания.
Във Филипините безконтактните плащания стават все по-популярни, а малките суми често не изискват ПИН код – което прави атаките трудни за засичане и спиране в реално време.
Други мобилни заплахи
В Индия бе открита кампания с Android зловреден софтуер SpyBanker, разпространяван чрез WhatsApp под претекст на приложение за помощ на клиенти. Той пренасочва входящите обаждания на жертвите към номер, контролиран от атакуващия, и краде данни за SIM картата, банковата информация, SMS съобщения и известия.
Също в Индия бяха засечени фалшиви приложения за кредитни карти на:
Те крадат лични и банкови данни, а междувременно инсталират и криптомайнер XMRig. Тези приложения се разпространяват чрез фишинг страници, които изглеждат като истински банкови сайтове, но съдържат бутони за изтегляне на зловреден APK файл.
Уязвимости в Android root инструменти
Компанията Zimperium zLabs съобщи и за уязвимост в root мениджъра KernelSU (версия 0.5.7), която позволява на злонамерено приложение да получи пълен контрол върху устройството, ако се стартира преди официалния мениджър.
Изследователите подчертават, че слабото или липсващо удостоверяване при системни операции често е причина за сериозни пробиви в сигурността.
