PhantomCard Mobile Malware
Cybersicherheitsforscher haben einen gefährlichen neuen Android-Trojaner namens PhantomCard entdeckt. Diese hochentwickelte Schadsoftware nutzt die Near Field Communication (NFC)-Technologie für Relay-Angriffe und ermöglicht es Kriminellen, betrügerische Transaktionen durchzuführen, indem sie die Bankkarten ihrer Opfer virtuell „klonen“.
Inhaltsverzeichnis
So funktioniert PhantomCard
PhantomCard funktioniert, indem NFC-Daten von der Karte eines Opfers auf das Gerät eines Kriminellen weitergeleitet werden. So kann der Angreifer die Karte so verwenden, als befände sie sich in seinem physischen Besitz. Das Design der Schadsoftware basiert auf einer in China entwickelten NFC-Relay-Malware-as-a-Service, insbesondere der NFU Pay-Plattform.
Die bösartige App, getarnt als Proteção Cartões, wird über gefälschte Google Play-Webseiten verbreitet, die legitime Kartenschutzdienste imitieren. Diese Seiten werden mit gefälschten positiven Bewertungen angereichert, um die Glaubwürdigkeit zu erhöhen. Die genaue Verbreitungsmethode ist unbekannt, vermutlich werden jedoch Smishing oder ähnliche Social-Engineering-Taktiken eingesetzt.
Nach der Installation fordert die App das Opfer auf, seine Kredit- oder Debitkarte zur „Verifizierung“ auf die Rückseite des Telefons zu legen. Sobald die Benutzeroberfläche „Karte erkannt!“ anzeigt, beginnt die Malware mit der Übertragung von NFC-Daten an einen vom Angreifer kontrollierten Remote-Server. Anschließend fordert die App den Nutzer zur Eingabe seiner PIN auf, die sofort an den Kriminellen übermittelt wird, um reale Transaktionen an einem PoS-Terminal oder Geldautomaten zu autorisieren.
Die Rolle des Maultiers im Plan
Auf der Seite des Kriminellen läuft auf einem Mule-Gerät eine entsprechende Anwendung, die die gestohlenen Kartendaten empfängt. Dieses Setup gewährleistet eine reibungslose Kommunikation zwischen dem PoS-Terminal und der Karte des Opfers und ermöglicht es Angreifern, die gestohlenen Zugangsdaten in Echtzeit zu verwenden.
Der Malware-Entwickler, online bekannt als Go1ano, ist in Brasilien für den Weiterverkauf von Android-Schädlingen berüchtigt. Forscher weisen darauf hin, dass PhantomCard im Wesentlichen eine neu verpackte Version des chinesischen NFU-Pay-Dienstes ist, der offen auf Telegram beworben wird. Der Entwickler behauptet, das Tool sei weltweit einsetzbar, völlig unsichtbar und mit allen NFC-fähigen PoS-Systemen kompatibel. Er wirbt außerdem mit engen Verbindungen zu anderen Malware-Familien, darunter BTMOB und GhostSpy.
Teil eines wachsenden NFC-Betrugs-Ökosystems im Untergrund
NFU Pay ist neben Namen wie SuperCard X, KingNFC und X/Z/TX-NFC nur eines von mehreren illegalen NFC-Relay-Tools auf dem Markt. Die Verbreitung dieser Tools birgt neue Risiken für regionale Banken und Finanzinstitute, da sie es globalen Bedrohungsakteuren ermöglicht, sprachliche, kulturelle und technische Barrieren zu umgehen, die Angriffe bisher einschränkten. Diese Ausbreitung erschwert die Betrugserkennung und -prävention erheblich.
Südostasien: Eine Brutstätte für NFC-Ausbeutung
Forscher warnen, dass Südostasien sich zu einem Testgebiet für NFC-basierten Betrug entwickelt hat. In Ländern wie den Philippinen sind solche Angriffe besonders effektiv, da kontaktlose Zahlungen immer häufiger stattfinden und Transaktionen mit geringem Wert stattfinden, bei denen PIN-Prüfungen oft umgangen werden.
Zu den gängigen Untergrundtools, die NFC-Betrug ermöglichen, gehören:
- Z-NFC und X-NFC – Bekannt für das Klonen und die Verwendung gestohlener Kartendaten in Echtzeittransaktionen.
- SuperCard X und Track2NFC – Diese sind in Darknet-Foren und privaten Chatgruppen weit verbreitet und ermöglichen Angreifern die Durchführung nicht autorisierter kontaktloser Zahlungen.
Die Transaktionen dieser Angriffe scheinen oft legitim zu sein und stammen von authentifizierten Geräten, was die Erkennung und Verhinderung insbesondere in Echtzeit-Finanzsystemen schwierig macht.
