Карта в кармане, а деньги у хакеров: как PhantomCard эксплуатирует NFC для кражи денежных средств

Новая вредоносная кампания на Android нацелена на банковских клиентов в Бразилии, Индии и странах Юго-Восточной Азии, комбинируя бесконтактное мошенничество через NFC , перехват звонков и эксплуатацию уязвимостей устройств.

Исследователи ThreatFabric сообщили о трояне PhantomCard, который использует технологию бесконтактной связи для проведения релейных атак. Злоумышленники получают данные карты жертвы, передавая их через управляемый сервер на устройство подельника, находящегося рядом с терминалом оплаты или банкоматом. Таким образом создаётся канал, позволяющий проводить операции, словно карта физически находится у преступника.

PhantomCard распространяется через поддельные страницы Google Play, замаскированные под приложение «Proteção Cartões» с фиктивными положительными отзывами. После установки программа запрашивает у пользователя приложить банковскую карту к смартфону «для проверки» и ввести PIN, который пересылается атакующему. Эквивалентное приложение на устройстве подельника обеспечивает синхронизацию с платёжным терминалом.

По данным ThreatFabric, за разработкой стоит бразильский продавец вредоносных инструментов Go1ano, использующий китайскую платформу NFU Pay, предлагающую аналогичные услуги как часть сервиса «вредоносное ПО по подписке». Среди сопоставимых решений упоминаются SuperCard X , KingNFC и X/Z/TX-NFC. Эксперты предупреждают, что подобные сервисы расширяют ареал атак, снимая барьеры языка и инфраструктуры.

В отчётах Resecurity за июль говорится , что страны Юго-Восточной Азии, в частности Филиппины, стали испытательным полигоном для бесконтактных махинаций. Здесь рост популярности NFC-платежей, особенно для мелких сумм, обходящихся без ввода PIN, облегчает проведение несанкционированных транзакций и затрудняет их отслеживание.

Одновременно компания K7 Security выявила в Индии кампанию с Android-вредоносом SpyBanker, распространяемым через WhatsApp под видом приложения поддержки клиентов банка. Он меняет номер переадресации звонков на заранее заданный, чтобы перехватывать входящие вызовы, и собирает данные SIM-карты, банковские сведения, SMS и уведомления.

Ещё один вектор атак в Индии связан с поддельными кредитными приложениями под брендами крупных банков, загружаемыми с фишинговых страниц. По данным McAfee, эти APK-файлы работают как «дропперы», загружая вредоносный модуль после установки. Пользователю показывается интерфейс, копирующий настоящий, с формами для ввода ФИО, номера карты, CVV, срока действия и телефона.

Встроенная функция позволяет запускать майнер криптовалюты XMRig при получении определённых сообщений через Firebase Cloud Messaging. Для маскировки страницы подгружают изображения и скрипты с настоящих банковских сайтов, добавляя кнопки загрузки, ведущие на заражённые файлы.

Разнообразие применяемых схем показывает, что мобильные устройства всё чаще становятся центром финансовых атак, а доверие к привычным каналам связи и платежей оборачивается главным уязвимым звеном в защите пользователя.