Il panorama delle minacce informatiche su Android continua ad arricchirsi di nuove varianti sempre più sofisticate e, purtroppo, sempre più difficili da individuare; l’ultima scoperta arriva dai ricercatori di ThreatFabric, che hanno individuato un trojan particolarmente insidioso chiamato PhantomCard, capace di sfruttare la tecnologia NFC (Near-Field Comunication) per rubare in tempo reale i dati delle carte di pagamento degli utenti e, di conseguenza, svuotarne i conti bancari.
Come agisce PhantomCard
Secondo quanto riportato dagli esperti, il malware PhantomCard si presenta come un’app legittima, distribuita tramite falsi siti che imitano il Google Play Store e che fingono di offrire servizi di protezione delle carte; queste pagine mostrano anche recensioni fasulle, studiate per aumentare la credibilità e convincere gli utenti a scaricare l’app. La diffusione avviene principalmente tramite campagne di smishing (SMS di phishing) o altre forme di ingegneria sociale.
Una volta installata, l’app chiede all’utente di avvicinare la propria carta al retro dello smartphone, apparentemente per motivi di autenticazione, in realtà i dati vengono inviati in tempo reale ai server dei criminali, che richiedono anche l’inserimento del PIN; a questo punto i truffatori hanno tutto ciò che serve per utilizzare la carta come se fosse fisica, effettuando transazioni presso POS o prelevando contanti da bancomat abilitati NFC.
Il sistema prevede anche l’impiego di dispositivi intermediari, installati sui telefoni dei cosiddetti money mules, si tratta di persone che, consapevolmente o meno, mettono a disposizione i propri dispositivi per ricevere i dati rubati e trasmetterli ai terminali di pagamento; questo rende il flusso delle operazioni estremamente rapido e difficile da intercettare.
Secondo ThreadFabric, PhantomCard sembra essere stato sviluppato da un autore già noto nel panorama delle minacce Android, lo stesso che in passato aveva commercializzato malware come BTMOB e GhostSpy.
Al momento le prime infezioni sono state rilevate soprattutto in Brasile, ma il fenomeno non è affatto circoscritto, nel sud-est asiatico per esempio si stanno diffondendo strumenti analoghi come SuperCard X, KingNFC e Z-NFC, capaci di clonare i dati delle carte e usarli per transazioni fraudolente; in regioni dove i pagamenti contactless sono ormai la norma e dove le transazioni di importo ridotto vengono spesso approvate senza richiedere il PIN, il problema diventa ancora più complesso da affrontare.
La comparsa di PhantomCard conferma ancora una volta come il mercato del malware-as-a-service (in questo caso basato su NFU Pay, un servizio venduto tramite Telegram) stia evolvendo con soluzioni sempre più specializzate, adatte ai diversi sistemi di sicurezza in uso nei vari Paesi; per gli utenti Android il consiglio rimane quello di scaricare le app esclusivamente dal Google Play Store ufficiale, diffidare da link ricevuti via SMS o email e prestare particolare attenzione alle richieste sospette, come quella di scansionare la propria carta di pagamento con lo smartphone.
Le istituzioni finanziarie dal canto loro, dovranno ampliare i sistemi di monitoraggio e rafforzare le contromisure, visto che si tratta di un fenomeno ormai globale con varianti locali ma con un unico obbiettivo, rubare denaro in modo silenzioso e sempre più sofisticato.
- LunaSpy è un nuovo malware Android che si finge un antivirus per rubare i vostri dati
- Il malware Konfety torna alla ribalta con nuove tecniche di evasione
- Attenti ai malware FakeUpdates e AsyncRAT: minacce sempre più diffuse e insidiose
- Il malware Godfather torna a colpire con nuove tecniche sofisticate
