Các nhà phân tích của ThreatFabric đã phát hiện ra mã độc PhantomCard, một loại Trojan Android tinh vi dựa trên công nghệ NFC, được thiết kế để chuyển tiếp dữ liệu thẻ nhạy cảm từ thiết bị của nạn nhân đến những kẻ tấn công mạng. Malware này, ban đầu nhắm mục tiêu vào khách hàng ngân hàng ở Brazil, cho thấy tiềm năng mở rộng toàn cầu và minh họa rõ nét sự gia tăng hứng thú của các tác nhân đe dọa đối với các tấn công NFC relay.

Cách thức hoạt động của mã độc PhantomCard

Mã độc PhantomCard hoạt động bằng cách giả mạo một ứng dụng “bảo vệ thẻ” hợp pháp, được phân phối thông qua các trang web lừa đảo bắt chước Google Play Store. Sau khi cài đặt, ứng dụng không yêu cầu các quyền bổ sung, mà ngay lập tức nhắc nhở người dùng chạm thẻ ngân hàng vật lý của họ vào thiết bị bị nhiễm để xác minh.

Hành động này khởi tạo quá trình chuyển tiếp dữ liệu NFC thông qua một máy chủ do tội phạm kiểm soát. Điều này cho phép những kẻ gian lận thực hiện các giao dịch trái phép tại các thiết bị đầu cuối điểm bán hàng (POS) hoặc ATM, giống như thể chúng đang cầm thẻ của nạn nhân.

Khai thác NFC và giao thức EMV

Chức năng cốt lõi của mã độc PhantomCard dựa trên việc khai thác trình đọc NFC trong các thiết bị Android hiện đại. Nó tập trung vào tiêu chuẩn giao thức ISO-DEP (ISO 14443-4), được sử dụng trong các thẻ EMV contactless.

Khi phát hiện thẻ, malware sẽ gửi các Đơn vị Dữ liệu Giao thức Ứng dụng (APDU) cụ thể. Ví dụ, lệnh SELECT cho thư mục Môi trường Hệ thống Thanh toán “2PAY.SYS.DDF01” được gửi để xác nhận thẻ tương thích EMV và trích xuất siêu dữ liệu về các ứng dụng thanh toán khả dụng.

Nếu thành công, dữ liệu được chuyển tiếp đến máy chủ chỉ huy và kiểm soát (C2), cảnh báo những kẻ tấn công rằng thẻ đã sẵn sàng để khai thác. Sau đó, malware tạo điều kiện cho một kênh chuyển tiếp hai chiều: các lệnh giao dịch từ phía kẻ gian lận được phân tích cú pháp và chuyển tiếp đến thẻ của nạn nhân, trong khi các phản hồi được gửi lại, kết nối hiệu quả thẻ vật lý với một POS hoặc ATM từ xa.

Chiếm đoạt PIN và thực hiện giao dịch

Để hoàn tất các giao dịch giá trị cao, mã độc PhantomCard lừa nạn nhân nhập mã PIN của họ. Mã PIN này sau đó được chuyển tiếp để xác thực.

Thiết lập này, được minh họa trong các video do tác nhân chia sẻ, cho phép gian lận liền mạch, nơi nạn nhân vô tình cho phép các khoản thanh toán từ xa.

Nguồn gốc và Mô hình phân phối MaaS

Mã độc PhantomCard không phải là một mã độc gốc. Nó là một biến thể tùy chỉnh của nền tảng Malware-as-a-Service (MaaS) “NFU Pay” có nguồn gốc từ Trung Quốc. Mã độc này tương tự như các công cụ ngầm khác như SuperCardX và KingNFC.

Phân tích cho thấy các thông báo debug tiếng Trung và các tham chiếu gói đến NFU Pay. Điều này chỉ ra rằng tác nhân đe dọa có trụ sở tại Brazil, được biết đến với tên “Go1ano developer,” đã mua lại và đổi tên thương hiệu để phân phối cục bộ.

Tác nhân này là một “nhà bán lẻ liên tục” các mối đe dọa Android Trojan. Họ quảng bá mã độc PhantomCard dưới tên “GHOST NFC CARD” trên Telegram, nhắm mục tiêu vào người dùng ngân hàng di động Brazil, đồng thời tuyên bố khả năng thích ứng toàn cầu. Các chỉ số như điểm cuối C2 “/baxi/b” (tiếng Trung có nghĩa là “Brazil”) cho thấy sự tùy chỉnh theo khu vực, làm dấy lên cảnh báo về các biến thể tiềm năng cho các thị trường khác.

Sự phát triển của mô hình MaaS và các mối liên hệ của “Go1ano developer”

Mô hình bán lẻ này nhấn mạnh sự thay đổi trong bối cảnh đe dọa mạng, nơi các tác nhân không chuyên về kỹ thuật đóng vai trò là nhà phân phối địa phương, kết nối các dịch vụ MaaS toàn cầu với các thị trường ngầm khu vực.

“Go1ano developer” cũng bán lại các họ mã độc như BTMOB và GhostSpy. Gần đây, tác nhân này đã chuyển nhượng quyền cho “Pegasus Team,” một nhóm có liên quan đến các Trojan Brazil khác như Rocinante. Việc thuê ngoài này mở rộng phạm vi của các mối đe dọa phức tạp, bỏ qua rào cản ngôn ngữ và văn hóa, đồng thời làm phức tạp thêm các biện pháp phòng thủ của các tổ chức tài chính.

Thách thức Phát hiện và Biện pháp Phòng ngừa

Mã độc PhantomCard làm nổi bật nhu cầu ngày càng tăng đối với các công cụ chuyển tiếp NFC. Nó được xây dựng dựa trên các công cụ tiền thân như NFCGate và NFSkate, nhưng với việc triển khai tinh gọn, tập trung vào EMV bằng cách sử dụng các thư viện như “scuba_smartcards” để phân tích cú pháp dữ liệu.

Đối với các ngân hàng, mã độc như vậy đặt ra thách thức trong việc phát hiện. Các giao dịch xuất hiện hợp pháp, có nguồn gốc từ thẻ vật lý của nạn nhân với xác nhận PIN. Chỉ những bất thường như vị trí người bán không khớp mới là dấu hiệu đỏ. ThreatFabric khuyến nghị giám sát chặt chẽ các họ mã độc tương tự, giáo dục người dùng chống lại các ứng dụng yêu cầu chạm thẻ để “bảo vệ,” và tăng cường phân tích giao dịch để phát hiện gian lận chuyển tiếp.

Khi MaaS phát triển thành các dịch vụ được bán lại, các tổ chức tài chính toàn cầu phải theo dõi các tác nhân này để bảo vệ chống lại các mối đe dọa di động đang leo thang.

Indicators of Compromise (IOCs)

C2 Servers

• api-card-master.serveo[.]net
• card-master.serveo[.]net
• app.fwd.live

MD5 Hashes

• 0d750c115794aa1c1809000a6042f61e
• e23d75d68894459f212239f2913e1642
• 835a64b22c366432b047a0528413b5ef
• b065ec019623838ae6f5179493a743b1
• 94611593ef0d27801a6ce8481358a984
• 46214ec042b58d6fcb2069e23588ef05