Los investigadores de ciberseguridad han revelado un nuevo troyano de Android llamado Fantasma que abusa de la comunicación de campo cercano (NFC) para realizar ataques de retransmisión para facilitar las transacciones fraudulentas en ataques dirigidos a clientes bancarios en Brasil.
«PhantomCard transmite los datos de la NFC de la tarjeta bancaria de una víctima al dispositivo del estafador», dijo Amenazfabric en un informe. «PhantomCard se basa en el malware de relevos NFC de origen chino como servicio».
El malware de Android, distribuido a través de páginas web falsas de Google Play que imitan aplicaciones para protección de tarjetas, se llama «Proteção Cartões» (nombre del paquete «com.nfupay.s145» o «com.rc888.baxi.english»).
Las páginas falsas también presentan revisiones positivas engañosas para persuadir a las víctimas de que instalaran la aplicación. Actualmente no se sabe cómo se distribuyen los enlaces a estas páginas, pero es probable que implique amordazos o una técnica de ingeniería social similar.
Una vez que la aplicación se instala y abre, solicita a las víctimas que coloquen su tarjeta de crédito/débito en el fondo del teléfono para comenzar el proceso de verificación, momento en el cual la interfaz de usuario muestra el mensaje: «¡Tarjeta detectada! Mantenga la tarjeta cerca hasta que se complete la autenticación».
En realidad, los datos de la tarjeta se transmiten a un servidor de retransmisión NFC controlado por el atacante aprovechando el lector NFC incorporado integrado en dispositivos modernos. La aplicación PhantomCard luego solicita a la víctima que ingrese el código PIN con el objetivo de transmitir la información al cibercriminal para autenticar la transacción.
«Como resultado, PhantomCard establece un canal entre la tarjeta física de la víctima y el terminal / ATM POS al que el cibercriminal está al lado», explicó Amenazfabric. «Permite que el cibercriminal use la tarjeta de la víctima como si estuviera en sus manos».
Similar a SuperCard X, existe una aplicación equivalente en el lado de la mula que está instalado en su dispositivo para recibir la información de la tarjeta robada y garantizar comunicaciones perfectas entre el terminal POS y la tarjeta de la víctima.
La compañía de seguridad holandesa dijo que el actor detrás del malware, GO1ano Developer, es un revendedor «en serie» de las amenazas de Android en Brasil, y que PhantomCard es en realidad el trabajo de una oferta china de malware como servicio conocida como NFU Pay que se anuncia en telegrama.
El desarrollador de Go1ano, en su propio canal de telegrama, afirma que PhantomCard funciona a nivel mundial, afirmando que es 100% indetectable y es compatible con todos los dispositivos terminales de punto de venta (POS) habilitados para NFC. También afirman ser un «socio de confianza» para otras familias de malware como Btmob y Ghostspy en el país.
Vale la pena señalar que NFU Pay es uno de los muchos servicios ilícitos vendidos en el metro que ofrecen capacidades de retransmisión NFC similares, como SuperCard X, KingNFC y X/Z/TX-NFC.
«Tales actores de amenazas plantean riesgos adicionales para las organizaciones financieras locales, ya que abren las puertas para una variedad más amplia de amenazas de todo el mundo, lo que podría haberse mantenido alejado de ciertas regiones debido a las barreras de lenguaje y cultural, detalles de sistema financiero, falta de formas de efectivo», dijo Amenazfabric.
«Esto, en consecuencia, complica el panorama de amenazas para las organizaciones financieras locales y llama a un monitoreo adecuado de las amenazas y actores globales detrás de la organización».
En un informe publicado el mes pasado advirtiendo sobre un aumento en el fraude habilitado para NFC en Filipinas, Resecurity dijo que el sudeste asiático se ha convertido en un campo de pruebas para el fraude de NFC, con malos actores dirigidos a bancos regionales y proveedores de servicios financieros.
«Con herramientas como Z-NFC, X-NFC, SuperCard X y Track2NFC, los atacantes pueden clonar los datos de la tarjeta robados y realizar transacciones no autorizadas utilizando dispositivos habilitados para NFC», dijo ReseCurity.
«Estas herramientas están ampliamente disponibles en foros subterráneos y grupos de mensajes privados. El fraude resultante es difícil de detectar, ya que las transacciones parecen originarse en dispositivos confiables y autenticados. En mercados como Filipinas, donde el uso de pagos sin contacto es creciente y las transacciones de bajo valor a menudo derivan la verificación de los PIN, tales ataques son más difíciles de rastrear y detenerse en el tiempo real».
La divulgación se produce cuando K7 Security descubrió una campaña de malware Android denominada Spybanker dirigida a usuarios bancarios indios que probablemente se distribuye a los usuarios a través de WhatsApp bajo la apariencia de una aplicación de servicio de ayuda para el cliente.
«Curiosamente, este malware de Android Spybanker edita el» número de reenvío de llamadas «a un número de teléfono móvil codificado, controlado por el atacante, registrando un servicio llamado ‘CallforwardingService’ y redirige las llamadas del usuario», dijo la compañía. «Las llamadas entrantes a las víctimas cuando se quedan desatendidas se desvían al número de llamada reenviada para llevar a cabo cualquier actividad maliciosa deseada».
Además, el malware viene equipado con capacidades para recopilar detalles SIM de las víctimas, información bancaria confidencial, mensajes SMS y datos de notificación.
Los usuarios bancarios indios también han sido atacados por el malware Android diseñado para desviar información financiera, al tiempo que eliminan simultáneamente el minero de criptomonedas XMRIG en dispositivos comprometidos. Las aplicaciones de tarjetas de crédito maliciosas se distribuyen mediante páginas de phishing convincentes que utilizan activos reales tomados de los sitios web oficiales de banca.
La lista de aplicaciones maliciosas es la siguiente –
- Tarjeta de crédito de Axis Bank (com.nwilfxj.fxkdr)
- Tarjeta de crédito ICICI Bank (com.nwilfxj.fxkdr)
- Tarjeta de crédito Indusind (com.nwilfxj.fxkdr)
- Tarjeta de crédito del Banco Estatal de India (com.nwilfxj.fxkdr)
El malware está diseñado para mostrar una interfaz de usuario falso que solicita a las víctimas que ingresen su información personal, incluidos nombres, números de tarjetas, códigos CVV, fechas de vencimiento y números móviles. Un aspecto notable de la aplicación es su capacidad para escuchar mensajes específicos enviados a través de Firebase Cloud Messaging (FCM) para activar el proceso de minería.
«La aplicación entregada a través de estos sitios de phishing funciona como un gotero, lo que significa que inicialmente parece inofensivo, pero luego carga dinámicamente y ejecuta la carga útil maliciosa real», dijo el investigador de McAfee, Dexter Shin. «Esta técnica ayuda a evadir la detección estática y complica el análisis».
«Estas páginas de phishing cargan imágenes, JavaScript y otros recursos web directamente desde los sitios web oficiales para que parezcan legítimos. Sin embargo, incluyen elementos adicionales como ‘Get App’ o ‘Descargar’ botones, lo que les solicita a los usuarios que instalaran el archivo APK malicioso».
Los hallazgos también siguen un informe de Zimperium Zlabs que detalla cómo se pueden usar marcos de rooteo como Kernelsu, Apatch y Skroot para obtener acceso a la raíz y aumentar los privilegios, lo que permite que un atacante obtenga el control total de los dispositivos Android.
La compañía de seguridad móvil dijo que descubrió a mediados de 2023 una falla de seguridad en Kernelsu (versión 0.5.7) que dijo que podría permitir a los atacantes autenticarse como el administrador de Kernelsu y comprometer por completo un dispositivo Android enraizado a través de una aplicación maliciosa ya instalada en él que también agrupa el administrador oficial de Kernelsu APK.
Sin embargo, una advertencia importante para lograr este ataque es que solo es efectiva si la aplicación del actor de amenaza se ejecuta antes de la aplicación legítima del gerente Kernelsu.
«Debido a que las llamadas del sistema pueden ser activadas por cualquier aplicación en el dispositivo, la autenticación sólida y los controles de acceso son esenciales», dijo el investigador de seguridad Marcel Bathke. «Desafortunadamente, esta capa a menudo se implementa mal, o completamente descuidada, lo que abre la puerta a serios riesgos de seguridad. La autenticación inadecuada puede permitir que las aplicaciones maliciosas obtengan acceso a la raíz y comprometan completamente el dispositivo».
Actualizar
En un informe separado publicado esta semana, el Futuro registrado dijo que los actores de amenaza de habla china están utilizando cada vez más la técnica de retransmisión basada en NFC, llamada Ghost Tap, para cometer un fraude minorista mediante el uso de detalles de la tarjeta de pago robado vinculados a servicios de pago móviles como Apple Pay y Google Pay.
Algunas de las actividades se remontan a @Webu8 y @DJDJ8884, que han estado anunciando teléfonos con quemadores, servicios de tocación de fantasmas y credenciales de tarjetas de pago comprometidas a grupos de amenazas de habla china en Telegram y comprometidos con actores de amenazas involucrados en campañas de fraude minorista. Estos servicios se venden en plataformas de depósito en telegrama, como Huione Garante, Xinbi Garantea y Tudou Garantene.
«Esta técnica permite a estos actores de amenaza proporcionar a las mulas detalles de la tarjeta de pago robado vinculados a los sistemas de pago sin contacto en persona para obtener bienes físicos, y finalmente transportan y revenden bienes robados con fines de lucro», dijo la compañía propiedad de MasterCard.
«Los ciberdelincuentes de habla china están utilizando la automatización para agregar información de la tarjeta de pago robada a las billeteras de pago sin contacto, vendiendo teléfonos con quemador y proporcionando un software periférico no especificado capaz de transmitir detalles de la tarjeta de pago para separar dispositivos móviles a múltiples sindicatos penales de habla china».
Google compartió la siguiente declaración con The Hacker News después de la publicación de la historia –
Según nuestra detección actual, no se encuentran aplicaciones que contengan este malware en Google Play. Los usuarios de Android están protegidos automáticamente con versiones conocidas de este malware por Google Play Protect, que está activado de forma predeterminada en dispositivos Android con los servicios de Google Play.