Los investigadores de ciberseguridad han revelado un nuevo troyano de Android llamado PhantomCard, que abusa de las comunicaciones de campo (NFCS) para llevar a cabo ataques de retransmisión para promover transacciones fraudulentas en ataques dirigidos a clientes bancarios brasileños.
«PhantomCard transmite los datos de NFC de las tarjetas bancarias de las víctimas a los dispositivos de los estafadores», dijo Denacefabric en el informe. «PhantomCard se basa en su chino como servicio como malware de retransmisión de NFC».
Android Malware distribuido a través de páginas web falsas de Google Play que imitan aplicaciones para la protección de tarjetas se usa bajo el nombre «Proteçãocartis» (nombre del paquete com.nfupay.s145 «o» com.rc888.baxi.english «).
La página falsa también presenta una revisión positiva engañosa para convencer a las víctimas de instalar la aplicación. Actualmente, no sabemos cómo se distribuirán los enlaces a estas páginas, pero podría incluir técnicas de ingeniería social smming y similares.
Una vez que la aplicación esté instalada y abierta, pídale a la víctima que coloque su tarjeta de crédito/débito en la parte posterior del teléfono para comenzar el proceso de verificación. En este punto, la interfaz de usuario recibirá un mensaje que dice «¡La tarjeta se detectará! Mantenga la tarjeta cerca hasta que se complete la autenticación».
En realidad, los datos de la tarjeta se transmiten a un servidor de retransmisión NFC controlado por el atacante utilizando un lector NFC integrado integrado en dispositivos modernos. La aplicación PhantomCard requiere que la víctima ingrese un código PIN con el objetivo de enviar información al cibercriminal para autenticar la transacción.
«Como resultado, PhantomCard establece un canal entre la tarjeta física de la víctima y el terminal POS/ATM donde el cibercriminal se encuentra al lado», explicó Amenazfabric. «Permite que los cibercriminales usen la tarjeta de la víctima como si estuviera en sus manos».
Al igual que SuperCard X, hay una aplicación equivalente en el lado de la mula que se instala en el dispositivo para recibir información de la tarjeta robada y garantizar una comunicación perfecta entre el terminal POS y la tarjeta de la víctima.
La compañía de seguridad holandesa dijo que el desarrollador de Go1ano, el actor detrás del malware, es un revendedor «en serie» de la amenaza de Android brasileño, y que PhantomCard es en realidad una marca de un servicio conocido como malware chino conocido como NFU Pay, anunciado en telegrama.
Los desarrolladores de Go1ano dicen en su propio canal de telegrama que PhantomCard es globalmente funcional, 100% indetectable y compatible con todos los dispositivos terminales POS (POS) habilitados para NFC. También afirman ser «socios de confianza» para otras familias de malware como Btmob y Ghostspy en el país.
Vale la pena señalar que NFU Pay es uno de los muchos servicios ilegales que se han llevado a cabo bajo tierra, ofreciendo capacidades de retransmisión NFC similares como SuperCard X, KingNFC, X/Z/TX-NFC.
«Los actores de amenaza como estos representan riesgos adicionales para las organizaciones financieras locales para abrir la puerta a una amplia gama de amenazas de todo el mundo, lo que podría llevar a que ciertas regiones sean distantes de la esfera debido a las barreras de lenguaje y cultural, detalles del sistema financiero y escasez de efectivo», dijo Amenazfabric.
«En consecuencia, esto complica el panorama de amenazas para las organizaciones financieras locales y exige una vigilancia adecuada de las amenazas y actores globales detrás de ellos dirigidos a la organización».
Un informe publicado el mes pasado dijo en una advertencia sobre un aumento en el fraude habilitado para NFC en Filipinas que el rendimiento fue malo para el sudeste asiático como un campo de prueba para el fraude de NFC, con actores dirigidos a bancos regionales y proveedores de servicios financieros.
«Con herramientas como Z-NFC, X-NFC, Super Card X y Track 2NFC, los atacantes pueden clonar los datos de la tarjeta robados y usar dispositivos habilitados para NFC para llevar a cabo transacciones no autorizadas», dijo ReseCurity.
«Estas herramientas están ampliamente disponibles en foros subterráneos y grupos de mensajes privados. El fraude resultante parece provenir de dispositivos confiables y autenticados, lo que dificulta la detección del fraude resultante. El uso de pagos de contacto aumenta, las transacciones menos valiosas evitan la verificación del pin de los pines, y tales ataques son frecuentes, lo que hace que sean difíciles de atacar y difíciles de detener en el tiempo real».
Esta divulgación se produce cuando K7 Security descubre una campaña de malware de Android llamada Spybanker dirigida a los usuarios de los bancos indios que probablemente se distribuyan a los usuarios a través de WhatsApp bajo la apariencia de una aplicación de servicio de ayuda para el cliente.
«Curiosamente, este malware de Android Spybanker registra un servicio llamado» CallforwardingService «y redirige la llamada del usuario, editando el» número de llamadas «a un número móvil codificado con codificación controlada por el atacante», dijo la compañía. «Una llamada a la víctima cuando se quede desatendida se reutilizará a un número de reenvío de llamadas para llevar a cabo la actividad maliciosa que desean hacer».
Además, el malware está equipado con la capacidad de recopilar detalles de SIM de víctimas, información bancaria confidencial, mensajes SMS y datos de notificación.
Los usuarios de Indian Bank eliminarán el minero de criptomonedas XMRIG en dispositivos comprometidos al mismo tiempo que apuntar a malware Android diseñado para absorber información financiera. Las aplicaciones de tarjetas de crédito maliciosas se distribuyen mediante páginas de phishing convincentes que utilizan activos reales obtenidos de los sitios web oficiales bancarios.
Aquí hay una lista de aplicaciones maliciosas –
Axis Bank Ced Card (com.nwilfxj.fxkdr) ICICI Bank Creed Card (com.nwilfxj.fxkdr) Indusind Credit Card (com.nwilfxj.fxkdr) State Bank India Cedena de crédito (com.nwilfxj.fxkdr)
El malware está diseñado para mostrar interfaces de usuario falsas que alientan a las víctimas a ingresar información personal, como su nombre, número de tarjeta, código CVV, fecha de vencimiento y número de teléfono móvil. Un aspecto notable de la aplicación es que le permite activar el proceso de minería para escuchar mensajes específicos enviados a través de Firebase Cloud Messaging (FCM).
«Las aplicaciones entregadas a través de estos sitios de phishing actúan como goteros, lo que significa que se ven inofensivos al principio, pero luego cargan dinámicamente y ejecutan cargas útiles maliciosas reales», dice Dexter Shin, investigador de McAfee. «Esta técnica ayuda a evitar la detección estática y complicar el análisis».
«Estas páginas de phishing cargarán imágenes, JavaScript y otros recursos web directamente desde el sitio web oficial para que parezcan legítimas. Sin embargo, contienen elementos adicionales como el botón» Get App «y el botón» Descargar «.
Los resultados también siguen un informe de Zimperium Zlabs, que detalla cómo se pueden usar marcos de rooteo como Kernelsu, Apatch y Skroot para obtener acceso a la raíz y aumentar los privilegios, lo que permite a los atacantes obtener el control total de sus dispositivos Android.
La compañía de seguridad móvil dijo que se descubrió un defecto de seguridad en Kernelsch (versión 0.5.7) a mediados de 2023. Esto dijo que permite a los atacantes autenticarse como el administrador del kernel y puede comprometer completamente los dispositivos Android enraizados a través de aplicaciones maliciosas ya instaladas.
Sin embargo, una advertencia importante para detener este ataque es que la aplicación del actor de amenaza solo es efectiva si se ejecuta ante una aplicación legítima del gerente del núcleo.
«La autenticación fuerte y el control de acceso son esenciales porque las llamadas del sistema pueden ser activadas por cualquier aplicación en el dispositivo», dijo el investigador de seguridad Marcel Baskettle. «Desafortunadamente, esta capa a menudo abre la puerta a graves riesgos de seguridad, o a menudo se ignora por completo. La autenticación inapropiada permite que las aplicaciones maliciosas obtengan acceso de raíz y compromisos en sus dispositivos por completo».
Source link
