Pesquisadores de cibersegurança divulgaram um novo trojan para Android chamado PhantomCard que explora a comunicação por campo de proximidade (NFC) para conduzir ataques de retransmissão, facilitando transações fraudulentas direcionadas a clientes bancários no Brasil.
"O PhantomCard retransmite dados NFC de um cartão bancário da vítima para o dispositivo do fraudador", disse a ThreatFabric em um relatório.
O PhantomCard é baseado em malware de retransmissão NFC de origem chinesa como um serviço (malware-as-a-service).
O malware para Android, distribuído por páginas falsas da Google Play que imitam aplicativos para proteção de cartões, é identificado pelo nome "Proteção Cartões" (nome do pacote "com.nfupay.s145" ou "com.rc888.baxi.English").
As páginas falsas também apresentam avaliações positivas enganosas para persuadir as vítimas a instalar o aplicativo.
Atualmente, não se sabe como os links para essas páginas são distribuídos, mas provavelmente envolve smishing ou uma técnica de engenharia social semelhante.
Uma vez que o aplicativo é instalado e aberto, ele solicita às vítimas que coloquem seu cartão de crédito/débito na parte traseira do telefone para iniciar o processo de verificação, momento no qual a interface do usuário exibe a mensagem: "Cartão Detectado! Mantenha o cartão por perto até a autenticação estar completa."
Na realidade, os dados do cartão são retransmitidos para um servidor de retransmissão NFC controlado pelo atacante, aproveitando o leitor NFC embutido nos dispositivos modernos.
O aplicativo contaminado com PhantomCard então solicita que a vítima insira o código PIN com o objetivo de transmitir a informação ao cibercriminoso para autenticar a transação.
"Como resultado, o PhantomCard estabelece um canal entre o cartão físico da vítima e o terminal PoS/ATM que o cibercriminoso está próximo", explicou a ThreatFabric.
Isso permite que o cibercriminoso use o cartão da vítima como se estivesse em suas mãos.
Semelhante ao SuperCard X, existe um aplicativo equivalente no lado da "mula", que é instalado em seu dispositivo para receber as informações do cartão roubado e garantir comunicações contínuas entre o terminal PoS e o cartão da vítima.
A empresa de segurança holandesa afirmou que o ator por trás do malware, o desenvolvedor Go1ano, é um "revendedor serial" de ameaças Android no Brasil, e que o PhantomCard é, na verdade, obra de uma oferta chinesa de malware-as-a-service conhecida como NFU Pay, que é anunciada no Telegram.
O desenvolvedor Go1ano, em seu próprio canal no Telegram, afirma que o PhantomCard funciona globalmente, afirmando ser 100% indetectável e compatível com todos os dispositivos terminais PoS habilitados para NFC.
Eles também afirmam ser um "parceiro confiável" para outras famílias de malware como BTMOB e GhostSpy no país.
Vale ressaltar que o NFU Pay é um dos muitos serviços ilícitos oferecidos no submundo que apresentam capacidades de retransmissão NFC semelhantes, como SuperCard X, KingNFC e X/Z/TX-NFC.
"Tais atores de ameaças representam riscos adicionais para as organizações financeiras locais, pois abrem as portas para uma maior variedade de ameaças de todo o mundo, que poderiam ter permanecido afastadas de certas regiões devido a barreiras linguísticas e culturais, especificidades do sistema financeiro, falta de formas de sacar dinheiro", disse a ThreatFabric.
Isso, consequentemente, complica o cenário de ameaças para organizações financeiras locais e requer um monitoramento adequado das ameaças globais e dos atores por trás delas que visam a organização.
Em um relatório publicado no mês passado, alertando sobre um aumento na fraude habilitada para NFC nas Filipinas, a Resecurity disse que o Sudeste Asiático se tornou um campo de testes para fraudes NFC, com atores maliciosos visando bancos regionais e provedores de serviços financeiros.
"Com ferramentas como Z-NFC, X-NFC, SuperCard X e Track2NFC, os atacantes podem clonar dados de cartões roubados e realizar transações não autorizadas usando dispositivos habilitados para NFC", disse a Resecurity.
Essas ferramentas estão amplamente disponíveis em fóruns subterrâneos e grupos de mensagens privadas.
A fraude resultante é difícil de detectar, pois as transações parecem originar-se de dispositivos confiáveis e autenticados.
Em mercados como as Filipinas, onde o uso de pagamento sem contato está aumentando e transações de baixo valor muitas vezes dispensam a verificação por PIN, tais ataques são mais difíceis de rastrear e interromper em tempo real.
A divulgação ocorre enquanto a K7 Security descobriu uma campanha de malware para Android denominada SpyBanker direcionada a usuários bancários indianos que provavelmente é distribuída aos usuários via WhatsApp sob o pretexto de um aplicativo de serviço de ajuda ao cliente.
"Curiosamente, esse malware SpyBanker para Android edita o 'Número de Encaminhamento de Chamada' para um número de celular codificado, controlado pelo atacante, registrando um serviço chamado 'CallForwardingService' e redireciona as chamadas do usuário", disse a empresa.
Chamadas recebidas para as vítimas quando não atendidas são desviadas para o número de encaminhamento de chamada para realizar qualquer atividade maliciosa desejada.
Além disso, o malware vem equipado com capacidades para coletar detalhes do SIM da vítima, informações bancárias sensíveis, mensagens SMS e dados de notificação.
Usuários bancários indianos também foram alvos de malware para Android projetado para desviar informações financeiras, enquanto simultaneamente instala o minerador de criptomoedas XMRig em dispositivos comprometidos.
Os aplicativos maliciosos de cartão de crédito são distribuídos por páginas de phishing convincentes que usam ativos reais retirados de sites bancários oficiais.
A lista de aplicativos maliciosos é a seguinte:
- Axis Bank Credit Card (com.NWilfxj.FxKDr)
- ICICI Bank Credit Card (com.NWilfxj.FxKDr)
- IndusInd Credit Card (com.NWilfxj.FxKDr)
- State Bank of India Credit Card (com.NWilfxj.FxKDr)
O malware é projetado para exibir uma interface de usuário falsa que solicita às vítimas que insiram suas informações pessoais, incluindo nomes, números de cartão, códigos CVV, datas de validade e números de celular.
Um aspecto notável do aplicativo é sua capacidade de ouvir mensagens específicas enviadas via Firebase Cloud Messaging (FCM) para acionar o processo de mineração.
"O aplicativo entregue por esses sites de phishing funciona como um dropper, o que significa que inicialmente parece inofensivo, mas depois carrega e executa dinamicamente o payload malicioso real", disse o pesquisador da McAfee, Dexter Shin.
"Essa técnica ajuda a evitar a detecção estática e complica a análise." Essas páginas de phishing carregam imagens, JavaScript e outros recursos da web diretamente dos sites oficiais para parecerem legítimas.
No entanto, elas incluem elementos adicionais, como botões 'Obter App' ou 'Baixar', que solicitam aos usuários que instalem o arquivo APK malicioso.
As descobertas também seguem um relatório da Zimperium zLabs detalhando como frameworks de rooting como KernelSU, APatch e SKRoot podem ser usados para obter acesso root e elevar privilégios, permitindo que um atacante obtenha controle total dos dispositivos Android.
A empresa de segurança móvel disse que descobriu em meados de 2023 uma falha de segurança no KernelSU (versão 0.5.7) que poderia permitir que atacantes se autenticassem como o gerente do KernelSU e comprometessem completamente um dispositivo Android enraizado por meio de um aplicativo malicioso já instalado nele que também inclui o APK oficial do gerente do KernelSU.
No entanto, uma ressalva importante para realizar esse ataque é que ele só é eficaz se o aplicativo ameaçador for executado antes do aplicativo legítimo do gerente do KernelSU.
"Como chamadas de sistema podem ser acionadas por qualquer aplicativo no dispositivo, a autenticação forte e os controles de acesso são essenciais", disse o pesquisador de segurança Marcel Bathke.
Infelizmente, essa camada é frequentemente mal implementada – ou totalmente negligenciada – o que abre a porta para sérios riscos de segurança.
A autenticação inadequada pode permitir que aplicativos maliciosos obtenham acesso root e comprometam completamente o dispositivo.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...