Le panorama des menaces informatiques sur Android continue de s’enrichir à de nouvelles variantes de plus en plus sophistiquées et, malheureusement, de plus en plus difficiles à identifier les variantes; La dernière découverte provient des chercheurs de ThreatFabric, qui a identifié un cheval de Troie particulièrement insidieux appelé PhantomCard, capable d’exploiter la technologie NFC (communication en champ proche) pour voler les données des utilisateurs des utilisateurs en temps réel et, par conséquent, vider leurs comptes bancaires.
Comme l’agit Phantomcard
Selon les experts, le malware PhantomCard se présente comme une application légitime, distribuée via de faux sites qui imitent le Google Play Store et qui prétendent offrir des services de protection des cartes; Ces pages montrent également de fausses critiques, conçues pour augmenter la crédibilité et convaincre les utilisateurs de télécharger l’application. La diffusion se produit principalement par des campagnes de brish (SMS de phishing) ou d’autres formes d’ingénierie sociale.
Une fois installé, l’application demande à l’utilisateur de rapprocher sa carte de l’arrière du smartphone, apparemment pour des raisons d’authentification, en réalité les données sont envoyées en temps réel aux serveurs criminels, qui nécessitent également l’insertion de la broche; À ce stade, les escrocs ont tout ce dont vous avez besoin pour utiliser la carte comme si elle était physique, en effectuant des transactions au point de vue ou en prenant de l’argent des distributeurs automatiques de billets NFC autorisés.
Le système prévoit également l’utilisation des intermédiaires, installés sur les téléphones des mules de l’argent si appelées, ce sont des gens qui, consciemment ou non, rendent leurs appareils disponibles pour recevoir les données volées et les transmettre aux terminaux de paiement; Cela rend le flux d’opérations extrêmement rapide et difficile à intercepter.
Selon ThreadFabric, PhantomCard semble avoir été développé par un auteur déjà connu dans le panorama des menaces Android, la même qui avait commercialisé dans le passé et les logiciels malveillants tels que BTMOB et GhostSpy.
À l’heure actuelle, les premières infections ont été détectées avant tout au Brésil, mais le phénomène ne se limite pas du tout à l’Asie du Sud-Est, par exemple, par exemple des outils similaires se répandent tels que Supercard X, KingNFC et Z-NFC, capable de fermer les données des cartes et de les utiliser pour des transactions frauduleuses; Dans les régions où les paiements sans contact sont désormais la norme et où les transactions de montant réduit sont souvent approuvées sans demander le PIN, le problème devient encore plus complexe à gérer.
L’apparition de PhantomCard confirme une fois de plus comment le marché des logiciels malveillants en tant que service (dans ce cas, basé sur la rémunération NFU, un service vendu via Telegram) évolue avec des solutions de plus en plus spécialisées, adaptées aux différents systèmes de sécurité utilisés dans les différents pays; Pour les utilisateurs d’Android, les conseils demeurent de télécharger les applications exclusivement à partir du Google Play Store officiel, de se méfier des liens reçus via SMS ou de courrier électronique et de porter une attention particulière aux demandes suspectes, telles que la numérisation de votre carte de paiement avec le smartphone.
Les institutions financières pour leur part devront étendre les systèmes de surveillance et renforcer les contre-mesures, car il s’agit d’un phénomène désormais mondial avec des variantes locales mais avec un seul objectif, voler de l’argent d’une manière silencieuse et de plus en plus sophistiquée.
