Los investigadores de ciberseguridad han revelado un nuevo troyano de Android llamado Espantajo que abusa de la comunicación de campo cercano (NFC) para realizar ataques de retransmisión para proporcionar las transacciones fraudulentas en ataques dirigidos a clientes bancarios en Brasil.
“PhantomCard transmite los datos de la NFC de la plástico bancaria de una víctima al dispositivo del estafador”, dijo Amenazfabric en un noticia. “PhantomCard se sostén en el malware de relevos NFC de origen chino como servicio”.
El malware de Android, distribuido a través de páginas web falsas de Google Play que imitan aplicaciones para protección de tarjetas, se candela “Proteção Cartões” (nombre del paquete “com.nfupay.s145” o “com.rc888.baxi.english”).
Las páginas falsas igualmente presentan revisiones positivas engañosas para persuadir a las víctimas de que instalaran la aplicación. Actualmente no se sabe cómo se distribuyen los enlaces a estas páginas, pero es probable que implique amordazos o una técnica de ingeniería social similar.
Una vez que la aplicación se instala y abre, solicita a las víctimas que coloquen su plástico de crédito/débito en el fondo del teléfono para comenzar el proceso de comprobación, momento en el cual la interfaz de favorecido muestra el mensaje: “¡Polímero detectada! Mantenga la plástico cerca hasta que se complete la autenticación”.
En sinceridad, los datos de la plástico se transmiten a un servidor de retransmisión NFC controlado por el atacante aprovechando el profesor NFC incorporado integrado en dispositivos modernos. La aplicación PhantomCard luego solicita a la víctima que ingrese el código PIN con el objetivo de transmitir la información al cibercriminal para autenticar la transacción.
“Como resultado, PhantomCard establece un canal entre la plástico física de la víctima y el terminal / ATM POS al que el cibercriminal está al banda”, explicó Amenazfabric. “Permite que el cibercriminal use la plástico de la víctima como si estuviera en sus manos”.
Similar a SuperCard X, existe una aplicación equivalente en el banda de la mula que está instalado en su dispositivo para admitir la información de la plástico robada y respaldar comunicaciones perfectas entre el terminal POS y la plástico de la víctima.
La compañía de seguridad holandesa dijo que el actor detrás del malware, GO1ano Developer, es un revendedor “en serie” de las amenazas de Android en Brasil, y que PhantomCard es en sinceridad el trabajo de una proposición china de malware como servicio conocida como NFU Pay que se anuncia en telegrama.
El desarrollador de Go1ano, en su propio canal de telegrama, afirma que PhantomCard funciona a nivel mundial, afirmando que es 100% indetectable y es compatible con todos los dispositivos terminales de punto de saldo (POS) habilitados para NFC. Asimismo afirman ser un “socio de confianza” para otras familias de malware como Btmob y Ghostspy en el país.
Vale la pena señalar que NFU Pay es uno de los muchos servicios ilícitos vendidos en el patrón que ofrecen capacidades de retransmisión NFC similares, como SuperCard X, KingNFC y X/Z/TX-NFC.
“Tales actores de amenazas plantean riesgos adicionales para las organizaciones financieras locales, ya que abren las puertas para una variedad más amplia de amenazas de todo el mundo, lo que podría haberse mantenido alejado de ciertas regiones oportuno a las barreras de estilo y cultural, detalles de sistema financiero, desatiendo de formas de efectivo”, dijo Amenazfabric.
“Esto, en consecuencia, complica el panorama de amenazas para las organizaciones financieras locales y candela a un monitoreo adecuado de las amenazas y actores globales detrás de la estructura”.
En un noticia publicado el mes pasado advirtiendo sobre un aumento en el fraude facultado para NFC en Filipinas, Resecurity dijo que el sudeste oriental se ha convertido en un campo de pruebas para el fraude de NFC, con malos actores dirigidos a bancos regionales y proveedores de servicios financieros.
“Con herramientas como Z-NFC, X-NFC, SuperCard X y Track2NFC, los atacantes pueden clonar los datos de la plástico robados y realizar transacciones no autorizadas utilizando dispositivos habilitados para NFC”, dijo ReseCurity.
“Estas herramientas están ampliamente disponibles en foros subterráneos y grupos de mensajes privados. El fraude resultante es difícil de detectar, ya que las transacciones parecen originarse en dispositivos confiables y autenticados. En mercados como Filipinas, donde el uso de pagos sin contacto es creciente y las transacciones de bajo valencia a menudo derivan la comprobación de los PIN, tales ataques son más difíciles de rastrear y detenerse en el tiempo auténtico”.
La divulgación se produce cuando K7 Security descubrió una campaña de malware Android denominada Spybanker dirigida a usuarios bancarios indios que probablemente se distribuye a los usuarios a través de WhatsApp bajo la apariencia de una aplicación de servicio de ayuda para el cliente.
“Curiosamente, este malware de Android Spybanker edita el” número de reenvío de llamadas “a un número de teléfono móvil codificado, controlado por el atacante, registrando un servicio llamado ‘CallforwardingService’ y redirige las llamadas del favorecido”, dijo la compañía. “Las llamadas entrantes a las víctimas cuando se quedan desatendidas se desvían al número de convocatoria reenviada para sobrellevar a mango cualquier actividad maliciosa deseada”.
Adicionalmente, el malware viene equipado con capacidades para compilar detalles SIM de las víctimas, información bancaria confidencial, mensajes SMS y datos de notificación.
Los usuarios bancarios indios igualmente han sido atacados por el malware Android diseñado para desviar información financiera, al tiempo que eliminan simultáneamente el minero de criptomonedas XMRIG en dispositivos comprometidos. Las aplicaciones de tarjetas de crédito maliciosas se distribuyen mediante páginas de phishing convincentes que utilizan activos reales tomados de los sitios web oficiales de banca.
La directorio de aplicaciones maliciosas es la próximo –
- Polímero de crédito de Axis Bank (com.nwilfxj.fxkdr)
- Polímero de crédito ICICI Bank (com.nwilfxj.fxkdr)
- Polímero de crédito Indusind (com.nwilfxj.fxkdr)
- Polímero de crédito del Costado Estatal de India (com.nwilfxj.fxkdr)
El malware está diseñado para mostrar una interfaz de favorecido inexacto que solicita a las víctimas que ingresen su información personal, incluidos nombres, números de tarjetas, códigos CVV, fechas de vencimiento y números móviles. Un aspecto sobresaliente de la aplicación es su capacidad para escuchar mensajes específicos enviados a través de Firebase Cloud Messaging (FCM) para activar el proceso de minería.
“La aplicación entregada a través de estos sitios de phishing funciona como un cuentagotas, lo que significa que inicialmente parece inofensivo, pero luego carga dinámicamente y ejecuta la carga útil maliciosa auténtico”, dijo el investigador de McAfee, Dexter Shin. “Esta técnica ayuda a escamotear la detección estática y complica el examen”.
“Estas páginas de phishing cargan imágenes, JavaScript y otros medios web directamente desde los sitios web oficiales para que parezcan legítimos. Sin bloqueo, incluyen rudimentos adicionales como ‘Get App’ o ‘Descargar’ recadero, lo que les solicita a los usuarios que instalaran el archivo APK ladino”.
Los hallazgos igualmente siguen un noticia de Zimperium Zlabs que detalla cómo se pueden usar marcos de rooteo como Kernelsu, Apatch y Skroot para obtener comunicación a la raíz y aumentar los privilegios, lo que permite que un atacante obtenga el control total de los dispositivos Android.
La compañía de seguridad móvil dijo que descubrió a mediados de 2023 una falta de seguridad en Kernelsu (interpretación 0.5.7) que dijo que podría permitir a los atacantes autenticarse como el administrador de Kernelsu y comprometer por completo un dispositivo Android enraizado a través de una aplicación maliciosa ya instalada en él que igualmente agrupa el administrador oficial de Kernelsu APK.
Sin bloqueo, una advertencia importante para conquistar este ataque es que solo es efectiva si la aplicación del actor de amenaza se ejecuta ayer de la aplicación legítima del directivo Kernelsu.
“Oportuno a que las llamadas del sistema pueden ser activadas por cualquier aplicación en el dispositivo, la autenticación sólida y los controles de comunicación son esenciales”, dijo el investigador de seguridad Marcel Bathke. “Desafortunadamente, esta capa a menudo se implementa mal, o completamente descuidada, lo que abre la puerta a serios riesgos de seguridad. La autenticación inadecuada puede permitir que las aplicaciones maliciosas obtengan comunicación a la raíz y comprometan completamente el dispositivo”.
Refrescar
En un noticia separado publicado esta semana, el Futuro registrado dijo que los actores de amenaza de acento china están utilizando cada vez más la técnica de retransmisión basada en NFC, convocatoria Ghost Tap, para cometer un fraude minorista mediante el uso de detalles de la plástico de cuota robado vinculados a servicios de cuota móviles como Apple Pay y Google Pay.
Algunas de las actividades se remontan a @Webu8 y @DJDJ8884, que han estado anunciando teléfonos con quemadores, servicios de tocación de fantasmas y credenciales de tarjetas de cuota comprometidas a grupos de amenazas de acento china en Telegram y comprometidos con actores de amenazas involucrados en campañas de fraude minorista. Estos servicios se venden en plataformas de depósito en telegrama, como Huione Fiador, Xinbi Garantea y Tudou Garantene.
“Esta técnica permite a estos actores de amenaza proporcionar a las mulas detalles de la plástico de cuota robado vinculados a los sistemas de cuota sin contacto en persona para obtener beneficios físicos, y finalmente transportan y revenden beneficios robados con fines de rendimiento”, dijo la compañía propiedad de MasterCard.
“Los ciberdelincuentes de acento china están utilizando la automatización para juntar información de la plástico de cuota robada a las billeteras de cuota sin contacto, vendiendo teléfonos con quemador y proporcionando un software periférico no especificado capaz de transmitir detalles de la plástico de cuota para separar dispositivos móviles a múltiples sindicatos penales de acento china”.
Google compartió la próximo proclamación con The Hacker News a posteriori de la publicación de la historia –
Según nuestra detección flagrante, no se encuentran aplicaciones que contengan este malware en Google Play. Los usuarios de Android están protegidos automáticamente con versiones conocidas de este malware por Google Play Protect, que está activado de forma predeterminada en dispositivos Android con los servicios de Google Play.
