Новый троян для Android, названный PhantomCard, используется для совершения мошеннических банковских операций посредством атак с ретрансляцией данных NFC. Метод заключается в передаче данных NFC с физической банковской карты жертвы на устройство злоумышленника, которое затем взаимодействует с PoS-терминалом или банкоматом для проведения транзакции. Этот вредонос основан на китайском сервисе «вредоносное ПО как услуга» под названием NFU Pay.
Атака начинается с того, что жертву обманом заставляют установить поддельное приложение, например, «Proteção Cartões», и приложить свою карту к задней панели телефона якобы для «верификации». В этот момент PhantomCard захватывает данные NFC и передает их на сервер злоумышленника. Затем вредоносное ПО запрашивает у жертвы PIN-код, который также отправляется атакующему для завершения операции. Эксперты голландской компании по кибербезопасности ThreatFabric отследили распространение трояна через поддельные веб-страницы Google Play с использованием пакетов
Основным распространителем PhantomCard в Бразилии является актор, известный как «Go1ano developer». Через свой канал в Telegram он рекламирует вредонос, заявляя, что тот «на 100% необнаружим, работает по всему миру и совместим со всеми PoS-терминалами с поддержкой NFC». Этот же деятель утверждает, что является «доверенным партнером» для других семейств вредоносных программ, таких как BTMOB и GhostSpy.
Рост NFC-мошенничества не ограничивается Бразилией. Компания Resecurity зафиксировала всплеск подобных атак на Филиппинах, отмечая, что Юго-Восточная Азия стала «полигоном» для тестирования таких схем. Мошенничество трудно обнаружить, поскольку транзакции выглядят так, как будто они исходят от аутентифицированных устройств, а операции на небольшие суммы часто не требуют ввода PIN-кода. К другим известным вредоносам для NFC-ретрансляции относятся SuperCard X, KingNFC, X/Z/TX-NFC и Track2NFC.
Параллельно в Индии действует другая кампания, использующая вредоносное ПО SpyBanker. По данным K7 Security, этот троян нацелен на клиентов индийских банков и распространяется через WhatsApp под видом приложения службы поддержки. Его ключевая функция — перехват телефонных звонков. SpyBanker программно изменяет номер для переадресации вызовов на номер, контролируемый злоумышленниками, регистрируя для этого службу под названием «CallForwardingService». В результате все входящие звонки, оставшиеся без ответа, перенаправляются атакующим.
Кроме перехвата звонков, SpyBanker также собирает данные о SIM-карте, похищает конфиденциальную банковскую информацию и перехватывает SMS-сообщения вместе с данными из уведомлений, предоставляя злоумышленникам полный доступ к чувствительной информации жертвы.
Еще одна многоэтапная атака, нацеленная на индийских банковских клиентов, была раскрыта исследователем Dexter Shin из McAfee. Злоумышленники используют убедительные фишинговые страницы, которые копируют дизайн и используют реальные ресурсы (изображения, скрипты) официальных банковских сайтов. Пользователей убеждают установить вредоносный APK-файл, нажав на кнопки «Get App» или «Download».
Это приложение является «дроппером»: изначально оно выглядит безвредным для обхода статического анализа, но затем динамически загружает основной вредоносный компонент. Он отображает поддельный пользовательский интерфейс для кражи личных данных, включая имена, номера карт, CVV-коды, сроки действия и номера мобильных телефонов. При этом втайне устанавливается майнер криптовалюты XMRig, который активируется удаленно с помощью сообщений через Firebase Cloud Messaging (FCM). Атаке подверглись клиенты ICICI Bank, IndusInd Bank и State Bank of India, причем все вредоносные приложения имели одно и то же имя пакета:
Наконец, в середине 2023 года исследователь Marcel Bathke обнаружил критическую уязвимость в KernelSU — инструменте для Android-устройств с root-доступом. Проблема в версии 0.5.7 заключалась в неправильной аутентификации и контроле доступа к системным вызовам. Это позволяло любому приложению инициировать их без надлежащей проверки.
В результате этой уязвимости вредоносное приложение могло получить полный root-доступ и скомпрометировать устройство. Однако атака была эффективна только при одном условии: вредоносное приложение должно было быть запущено до легитимного менеджера KernelSU, что ограничивало вектор эксплуатации, но не отменяло серьезности угрозы для пользователей устройств с модифицированной системой.
Изображение носит иллюстративный характер
Атака начинается с того, что жертву обманом заставляют установить поддельное приложение, например, «Proteção Cartões», и приложить свою карту к задней панели телефона якобы для «верификации». В этот момент PhantomCard захватывает данные NFC и передает их на сервер злоумышленника. Затем вредоносное ПО запрашивает у жертвы PIN-код, который также отправляется атакующему для завершения операции. Эксперты голландской компании по кибербезопасности ThreatFabric отследили распространение трояна через поддельные веб-страницы Google Play с использованием пакетов
com.nfupay.s145 или com.rc888.baxi.English. Основным распространителем PhantomCard в Бразилии является актор, известный как «Go1ano developer». Через свой канал в Telegram он рекламирует вредонос, заявляя, что тот «на 100% необнаружим, работает по всему миру и совместим со всеми PoS-терминалами с поддержкой NFC». Этот же деятель утверждает, что является «доверенным партнером» для других семейств вредоносных программ, таких как BTMOB и GhostSpy.
Рост NFC-мошенничества не ограничивается Бразилией. Компания Resecurity зафиксировала всплеск подобных атак на Филиппинах, отмечая, что Юго-Восточная Азия стала «полигоном» для тестирования таких схем. Мошенничество трудно обнаружить, поскольку транзакции выглядят так, как будто они исходят от аутентифицированных устройств, а операции на небольшие суммы часто не требуют ввода PIN-кода. К другим известным вредоносам для NFC-ретрансляции относятся SuperCard X, KingNFC, X/Z/TX-NFC и Track2NFC.
Параллельно в Индии действует другая кампания, использующая вредоносное ПО SpyBanker. По данным K7 Security, этот троян нацелен на клиентов индийских банков и распространяется через WhatsApp под видом приложения службы поддержки. Его ключевая функция — перехват телефонных звонков. SpyBanker программно изменяет номер для переадресации вызовов на номер, контролируемый злоумышленниками, регистрируя для этого службу под названием «CallForwardingService». В результате все входящие звонки, оставшиеся без ответа, перенаправляются атакующим.
Кроме перехвата звонков, SpyBanker также собирает данные о SIM-карте, похищает конфиденциальную банковскую информацию и перехватывает SMS-сообщения вместе с данными из уведомлений, предоставляя злоумышленникам полный доступ к чувствительной информации жертвы.
Еще одна многоэтапная атака, нацеленная на индийских банковских клиентов, была раскрыта исследователем Dexter Shin из McAfee. Злоумышленники используют убедительные фишинговые страницы, которые копируют дизайн и используют реальные ресурсы (изображения, скрипты) официальных банковских сайтов. Пользователей убеждают установить вредоносный APK-файл, нажав на кнопки «Get App» или «Download».
Это приложение является «дроппером»: изначально оно выглядит безвредным для обхода статического анализа, но затем динамически загружает основной вредоносный компонент. Он отображает поддельный пользовательский интерфейс для кражи личных данных, включая имена, номера карт, CVV-коды, сроки действия и номера мобильных телефонов. При этом втайне устанавливается майнер криптовалюты XMRig, который активируется удаленно с помощью сообщений через Firebase Cloud Messaging (FCM). Атаке подверглись клиенты ICICI Bank, IndusInd Bank и State Bank of India, причем все вредоносные приложения имели одно и то же имя пакета:
com.NWilfxj.FxKDr. Наконец, в середине 2023 года исследователь Marcel Bathke обнаружил критическую уязвимость в KernelSU — инструменте для Android-устройств с root-доступом. Проблема в версии 0.5.7 заключалась в неправильной аутентификации и контроле доступа к системным вызовам. Это позволяло любому приложению инициировать их без надлежащей проверки.
В результате этой уязвимости вредоносное приложение могло получить полный root-доступ и скомпрометировать устройство. Однако атака была эффективна только при одном условии: вредоносное приложение должно было быть запущено до легитимного менеджера KernelSU, что ограничивало вектор эксплуатации, но не отменяло серьезности угрозы для пользователей устройств с модифицированной системой.
