TehditFabrik analistler, kurbanların cihazlarından siber suçlulara hassas kart verilerini aktarmak için tasarlanmış sofistike bir NFC tabanlı Truva atı olan Phantomcard’ı ortaya çıkardı.
Öncelikle Brezilya’daki bankacılık müşterilerini hedefleyen ancak küresel genişleme potansiyeli gösteren bu kötü amaçlı yazılım, NFC röle saldırılarındaki tehdit aktörleri arasındaki artan ilgiyi örneklendiriyor.
Phantomcard, Google Play Store’u taklit eden aldatıcı web sayfaları aracılığıyla dağıtılan meşru bir “kart koruma” uygulaması olarak maskelenerek çalışır.
Kurulduktan sonra, kullanıcıların derhal fiziksel bankacılık kartlarını sözde doğrulama için enfekte cihaza karşı dokunmalarını isteyen ek izin gerektirmez.
Bu eylem, NFC verilerinin ceza kontrollü bir sunucu aracılığıyla rölesini başlatarak, sahtekarların kurbanın kartını tutmuş gibi satış noktası (POS) terminallerinde veya ATM’lerde yetkisiz işlemler gerçekleştirmelerini sağlar.
Phantomcard’ın temel işlevselliği, EMV temassız kartlarda kullanılan ISO-DEP (ISO 14443-4) protokol standardına odaklanarak modern Android cihazlarda NFC okuyucusunu kullanmaya bağlıdır.
Bir kartı tespit ettikten sonra, kötü amaçlı yazılım, EMV uyumlu bir kart olduğunu doğrulamak ve mevcut ödeme uygulamaları hakkında meta verileri çıkarmak için “2pay.sys.ddf01” ödeme komutu gibi belirli uygulama protokolü veri birimleri (APDUS) gönderir.
Başarılı olursa, veriler bir komut ve kontrol (C2) sunucusuna iletilir ve saldırganlara kartın sömürülmeye hazır olduğu konusunda uyarılır.
Kötü amaçlı yazılım daha sonra çift yönlü bir röle kolaylaştırır: Dolandırıcının tarafındaki işlem talimatları ayrıştırılır ve kurbanın kartına iletilirken, yanıtlar geri gönderilirken, fiziksel kartı etkili bir şekilde uzak bir POS veya ATM’ye köprü kurar.
Yüksek değerli işlemleri tamamlamak için Phantomcard, kurbanları pinlerini girmeye yönlendirir, bu da kimlik doğrulama için aktarılır.
Aktör paylaşılan videolarda gösterilen bu kurulum, kurbanın farkında olmadan ödemeleri uzaktan sağladığı kesintisiz sahtekarlığa izin veriyor.
Hizmet Olarak Kötü Yazılımlarda Kökler
Kökenlerini izleyen Phantomcard, orijinal bir yaratım değil, SuperCardx ve Kingnfc gibi diğer yeraltı araçlarına benzer olan Çin-Origin “NFU Pay” Hizmet Olarak Kötü Yazılım (MAAS) platformunun özelleştirilmiş bir varyantıdır.
Analiz, Çin hata ayıklama mesajlarını ve NFU Pay’a yapılan referansları ortaya koyuyor ve bu da “Go1ano geliştiricisi” olarak bilinen Brezilya merkezli tehdit aktörünün yerel dağıtım için satın aldığını ve yeniden markalaştığını gösteriyor.
Android tehditlerinin “seri satıcısı” olan bu aktör, Phantomcard’ı Telegram’da “Ghost NFC kartı” olarak teşvik eder ve küresel uyarlanabilirlik talep ederken Brezilyalı mobil bankacılık kullanıcılarını hedefler.
C2 uç noktası “/baxi/b” (“Brezilya” için Çince) gibi göstergeler, bölgeye özgü terzilik önermekte ve diğer pazarlar için potansiyel varyantlar hakkında alarmlar yükseltmektedir.
Bayi modeli, teknik olmayan aktörlerin yerel distribütörler olarak hareket ettiği ve küresel MAAS tekliflerini bölgesel yeraltı pazarlarına doldurduğu siber tehdit ortamında bir değişimin altını çiziyor.
“Go1ano Geliştiricisi” de BTMOB ve Ghostspy gibi aileleri satıyor ve yakın zamanda Rocinante gibi diğer Brezilyalı Truva atlarına bağlı “Pegasus Team” e hakları aktarıyor.
Bu dış kaynak kullanımı, sofistike tehditlerin erişimini genişletir, dili ve kültürel engelleri atlar ve finansal kurumlar için savunmaları zorlaştırır.
Azaltma stratejileri
Phantomcard, NFCGate ve NFSkate gibi öncülere dayanarak, ancak veri ayrıştırma için “Scuba_smartcards” gibi kütüphaneler kullanan aerodinamik, EMV odaklı bir uygulama ile NFC röle araçları için artan talebi vurgular.
Bankalar için, bu tür kötü amaçlı yazılımlar tespit zorlukları ortaya koymaktadır, çünkü işlemler kurbanın fiziksel kartından kaynaklanan meşru görünmektedir.
TehditFabric, benzer ailelerin uyanık izlenmesini, “koruma” için kart muslukları talep eden uygulamalara karşı kullanıcı eğitimini ve röle sahtekarlıklarını tespit etmek için geliştirilmiş işlem analizi önerir.
Maas yeniden satılan hizmetlere dönüştükçe, küresel finansal kuruluşlar artan mobil tehditlere karşı korumak için bu aktörleri izlemelidir.
Uzlaşma göstergeleri
| Uygulama Adı | Paket adı | Sha256 karma |
|---|---|---|
| Koruma kartları | com.nfupay.s145 | A78AB0C38FC97406727E48F0B5A803B1EDB9DA4A39E613F013B3C5B4736262F |
| Koruma kartları | com.rc888.baxi.english | CB10953F39723427D697D06550FAE2A330D7FFF8FC42E0334821E4A4C5F5A667 |
AWS Security Services: 10-Point Executive Checklist - Download for Free