Поделиться
Новые атаки на Android-смартфоны. Троян вытягивает деньги из банковских приложений через NFC
Вредонос PhantomCard в настоящее время грозит преимущественно пользователям в Бразилии, но стоит ожидать скорого распространения его и на другие регионы. Сам по себе троянец является переработкой аналогичного китайского вредоноса.
Дело на потоке
Исследователи компании ThreatFabric выявили новую угрозу для владельцев Android-смартфонов, в которые установлены приложения для бесконтактной оплаты. Вредонос PhantomCard - это троянец, который используется для проведения ретрансляционных атак и последующих мошеннических транзакций: попросту говоря, он передает платежные данные с карты жертвы на устройство злоумышленника. После чего тот может использовать ее так, будто карта у него в руках.
В отчете исследователей говорится, что они пристально отслеживают NFC-угрозы с тех пор как в Сети распространился вредонос NFSkate/NGate в марте 2024 г. Хотя такие вредоносные программы появлялись и раньше, они рассматривались скорее как фоновая угроза, одна из многих.
PhantomCard выделяется из общего ряда уже тем, что демонстрирует: дело поставлено на поток. Сам по себе он является переработкой аналогичного китайского троянца, который предлагается по принципу «вредонос-как-услуга»; его разработчик является гиперактивным «реселлером» вредоносных программ под Android, нацеленных исключительно на пользователей в Бразилии. Он распространяется через поддельные веб-страницы Google Play, и имитирует приложения для защиты карт - даже название соответствующее: Proteção Cartões (имя пакета com.nfupay.s145 или com.rc888.baxi.English).
После установки и запуска приложения оно просит жертву приложить свою кредитную/дебетовую карту к тыльной панели телефона, чтобы начать процесс проверки. На пользовательском интерфейсе отображается сообщение: «Карта обнаружена! Держите карту поблизости, пока аутентификация не будет завершена».
На самом деле в это время данные карты передаются с пользовательского устройства на контролируемый злоумышленником сервер-ретранслятор. Для этого используется встроенный NFC-считыватель, встречающийся в большинстве современных смартфонов.
Затем приложение PhantomCard запрашивает у жертвы PIN-код. После того, как эта информация передается киберпреступнику, он может совершать покупки за счет жертвы практически без ограничений.
«PhantomCard устанавливает канал связи между физической картой жертвы и PoS-терминалом или банкоматом, рядом с которым находится киберпреступник, - говорится в отчете ThreatFabric. - Это позволяет киберпреступнику использовать карту жертвы так, как будто она находится у него в руках».
У злоумышленника на его собственном устройстве установлен второй компонент вредоноса - приемник данных.
Только отключение NFC поможет
Сам разработчик вредоноса, известный под псевдонимом Go1ano, утверждает в своем канале Telegram, что PhantomCard работает по всему миру и что он «абсолютно необнаруживаем» и совместим со всеми POS-терминалами с поддержкой NFC.
«Как легко убедиться, невидимкой этот вредонос не является», - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Но это не делает его менее опасным для финансового благосостояния».
По мнению эксперта, лишь отключение NFC является гарантированной защитой от подобных вредоносов и ущерба, который они могут нанести. Хотя в данном случае потребуется заметное «соучастие» жертвы в атаке.
Поделиться
Короткая ссылка
