PhantomCardモバイルマルウェア

サイバーセキュリティ研究者らは、PhantomCardと呼ばれる危険なAndroid向けトロイの木馬を発見しました。この高度なマルウェアは、近距離無線通信（NFC）技術を悪用してリレー攻撃を実行し、被害者の銀行カードを仮想的に「複製」することで不正取引を行うことを可能にします。

PhantomCardの動作

PhantomCardは、被害者のカードから犯罪者のデバイスへNFCデータを中継することで動作し、攻撃者はカードを物理的に所有しているかのように利用できるようになります。このマルウェアの設計は、中国で開発されたNFC中継型マルウェア・アズ・ア・サービス、具体的にはNFU Payプラットフォームに基づいています。

Proteção Cartõesを装ったこの悪質アプリは、正規のカード保護サービスを模倣した偽のGoogle Playウェブページを通じて配布されています。これらのページには、偽の肯定的なレビューが掲載され、信憑性を高めています。正確な配布方法は不明ですが、スミッシングなどのソーシャルエンジニアリング手法が用いられている可能性があります。

アプリがインストールされると、被害者は「認証」のためにクレジットカードまたはデビットカードをスマートフォンの背面にかざすよう促されます。インターフェースに「カードを検出しました！」と表示されると、マルウェアはNFCデータを攻撃者が管理するリモートサーバーに送信し始めます。その後、アプリはユーザーにPINの入力を求めます。PINは即座に犯罪者に送信され、POS端末やATMでの実際の取引を承認します。

計画におけるラバの役割

犯罪者側では、盗まれたカードデータを受信するために設計されたアプリケーションをミュールデバイスで実行します。この設定により、POS端末と被害者のカード間のスムーズな通信が確保され、攻撃者は盗んだ認証情報をリアルタイムで利用できるようになります。

オンライン上でGo1anoとして知られるマルウェア開発者は、ブラジルでAndroidの脅威を転売することで悪名高い。研究者によると、PhantomCardは本質的には中国のNFU Payサービスのリパッケージ版であり、Telegramで堂々と宣伝されている。開発者は、このツールは世界中で機能し、完全に検知されず、すべてのNFC対応POSシステムと互換性があると主張している。また、BTMOBやGhostSpyといった他のマルウェアファミリーとの密接な関係も宣伝している。

拡大するNFC詐欺の地下エコシステムの一部

NFU Payは、SuperCard X、KingNFC、X/Z/TX-NFCといった名称で知られる、市場に出回っている数々の違法NFC中継ツールの一つに過ぎません。これらのツールの普及は、これまで攻撃を阻んできた言語、文化、技術の壁を、世界中の脅威アクターが回避することを可能にすることで、地域の銀行や金融機関に新たなリスクをもたらしています。この拡大は、不正行為の検知と防止を著しく困難にしています。

東南アジア：NFC悪用の温床

研究者たちは、東南アジアがNFCを利用した詐欺の実験場として台頭していると警告している。フィリピンのような国では、非接触型決済の増加と、PINチェックを回避できる低額取引の蔓延により、このような攻撃が特に効果的となっている。

NFC 詐欺を可能にする一般的なアンダーグラウンドツールには、次のようなものがあります。

• Z-NFC および X-NFC – 盗まれたカードデータを複製し、リアルタイム取引で使用することで知られています。
• SuperCard X と Track2NFC – ダークウェブ フォーラムやプライベート チャット グループで広く入手可能で、攻撃者が不正な非接触型決済を実行できるようになります。

これらの攻撃による取引は、認証されたデバイスから発信された正当なものであるように見えることが多く、特にリアルタイムの金融システムでは検出と防止が困難になります。