Phantomcard olarak adlandırılan sofistike yeni bir Android kötü amaçlı yazılım, Brezilya’nın siber suçlu yeraltının gölgelerinden mobil bankacılık tehditlerinde önemli bir evrimi temsil etti.
Bu kötü niyetli uygulama, kurbanların fiziksel bankacılık kartları ve dolandırıcıların cihazları arasında kesintisiz bir köprü oluşturmak için Saha İletişimine Yakın İletişim (NFC) teknolojisinden yararlanır ve fiziksel kart bulundurmaya ihtiyaç duymadan gerçek zamanlı finansal hırsızlığı sağlar.
Kötü amaçlı yazılım, kullanıcıların bankacılık kartları için gelişmiş güvenlik vaat eden ikna edici sahte Google Play mağaza sayfalarıyla dağıtılan meşru bir “Proteção Cartões” (Kart Koruması) uygulaması olarak maskelenir.
Phantomcard, enfekte olmuş akıllı telefonları uzak kart sıyırıcılarına dönüştüren ustaca bir röle mekanizmasıyla çalışır.
Mağdurlardan bir güvenlik doğrulama süreci olduğuna inandıkları şeyi başlatmak için bankacılık kartlarını telefonlarına karşı dokunmaları istendiğinde, kötü amaçlı yazılım, NFC verilerini şifreli kanallar aracılığıyla siber suçlu cihazlarına sessizce yakalar ve iletir.
.webp)
Bu, sahtekarların satış noktası terminallerinde veya ATM’lerde, kurbanın kartına fiziksel olarak sahipmiş gibi işlem yapmalarını sağlar ve kötü amaçlı yazılımın ikna edici bir arayüzden ayrı olarak hasat ettiği pin kimlik doğrulaması ile tamamlanır.
Tehdit kumaş analistleri, Phantomcard’ın orijinal bir yaratım değil, Çinli orijinal “NFU Pay” malware platformunun özelleştirilmiş bir versiyonu olduğunu belirledi.
Keşif, uluslararası siber suçlu araçların bölgesel tehdit aktörleri tarafından yerelleştirildiği ve yeniden dağıtıldığı, özellikle küresel genişleme yeteneklerini korurken Brezilya bankacılığı müşterilerini hedefleyen bir eğilim ortaya koyuyor.
Kötü amaçlı yazılımların komut ve kontrol sunucusu, özellikle Brezilya operasyonları için kodlanmış uç noktalar içerir, “/baxi/b” Çince’de “Brezilya” (巴西, Bāxī).
Phantomcard’ın teknik uygulaması, EMV ödeme protokollerinin sofistike bir şekilde anlaşılmasını göstermektedir. Kötü amaçlı yazılım, veri ayrıştırma için “Scuba_smartcards” kitaplığını kullanan ISO-DEP (ISO 14443-4) standart temassız kartları hedefler.
.webp)
Bir NFC etiketi tespit ettikten sonra Phantomcard, bir ISO-DEP bağlantısı oluşturur ve önemli bir APDU komutu gönderir: 00A404000E325041592E5359532E444446303100ödeme sistemi ortam dizinini seçen.
Bu komut, modern ödeme sistemlerinde kullanılan “2pay.sys.ddf01” dizine erişerek EMV kartlarını özellikle hedefler.
Gelişmiş NFC Röle Mimarisi
Phantomcard’ın röle mekanizması, uzak terminallerle fiziksel kartları sorunsuz bir şekilde köprüleyen sofistike iki fazlı bir işlemle çalışır.
Kötü amaçlı yazılım ilk olarak, Çin hata ayıklama mesajlarını gösteren kod snippet’inde kanıtlandığı gibi geniş günlüğe kaydetme özelliklerine sahip bağlantı parametrelerini oluşturur: “正在建立 ISO-DEP 连接…” (ISO-DEP bağlantısı oluşturulması).
Uygulama, iletişim zaman aşımlarını 120.000 milisaniyeye ayarlar ve zorlu ağ koşullarında bile kararlı veri iletimini sağlar.
Siber suçlular hileli işlemler başlattığında, Phantomcard işlem talimatları içeren WebSocket mesajları alır.
Kötü amaçlı yazılım, bu komutları ayrıştırır ve özellikle ödeme yetkilendirme taleplerini gösteren “80A” talimat kodlarını algılayan kalıp eşleştirme yoluyla işlem verilerini tanımlar.
Miktar ve para birimi kodlarını içeren kritik işlem öğeleri, APDU komutları içindeki belirli bayt konumlarından çıkarılır ve uzak konumlarda kesin işlem çoğaltma sağlar.
Bu sofistike röle sistemi, geleneksel bankacılık güvenlik sistemlerinin tanımlamak için mücadele ettiği neredeyse tespit edilemez sahtekarlık senaryoları oluşturmak için sosyal mühendisliği gelişmiş NFC manipülasyonu ile birleştirerek mobil bankacılık tehditlerinde tehlikeli bir evrimi temsil etmektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.