Malware móvil PhantomCard

Investigadores de ciberseguridad han descubierto un nuevo y peligroso troyano para Android llamado PhantomCard. Este sofisticado malware explota la tecnología de comunicación de campo cercano (NFC) para realizar ataques de retransmisión, lo que permite a los delincuentes realizar transacciones fraudulentas mediante la clonación virtual de las tarjetas bancarias de las víctimas.

Cómo funciona PhantomCard

PhantomCard funciona retransmitiendo datos NFC de la tarjeta de la víctima al dispositivo del delincuente, lo que permite al atacante usar la tarjeta como si la tuviera físicamente en su poder. El diseño del malware se basa en un malware como servicio de retransmisión NFC desarrollado en China, concretamente en la plataforma NFU Pay.

La aplicación maliciosa, camuflada como Proteção Cartões, se distribuye a través de páginas web falsas de Google Play que imitan servicios legítimos de protección de tarjetas. Estas páginas se enriquecen con reseñas positivas falsas para aumentar su credibilidad. Aunque se desconoce el método exacto de distribución, es probable que se utilicen técnicas de smishing o ingeniería social similares.

Una vez instalada, la aplicación solicita a la víctima que coloque su tarjeta de crédito o débito en la parte trasera de su teléfono para su verificación. Cuando la interfaz muestra "¡Tarjeta detectada!", el malware comienza a transmitir datos NFC a un servidor remoto controlado por el atacante. La aplicación solicita al usuario que introduzca su PIN, que se envía inmediatamente al delincuente para autorizar transacciones reales en un terminal de punto de venta (TPV) o cajero automático.

El papel de la mula en el plan

Del lado del delincuente, un dispositivo mula ejecuta una aplicación diseñada para recibir los datos de la tarjeta robada. Esta configuración garantiza una comunicación fluida entre el terminal PoS y la tarjeta de la víctima, lo que permite a los atacantes usar las credenciales robadas en tiempo real.

El desarrollador de malware, conocido en línea como Go1ano, es conocido en Brasil por revender amenazas para Android. Los investigadores señalan que PhantomCard es esencialmente una versión reempaquetada del servicio chino NFU Pay, que se promociona abiertamente en Telegram. El desarrollador afirma que la herramienta es globalmente funcional, completamente indetectable y compatible con todos los sistemas de punto de venta (TPV) con NFC. También anuncian vínculos estrechos con otras familias de malware, como BTMOB y GhostSpy.

Parte de un creciente ecosistema clandestino de fraude NFC

NFU Pay es solo una de las diversas herramientas de retransmisión NFC ilegales disponibles en el mercado, junto con nombres como SuperCard X, KingNFC y X/Z/TX-NFC. La proliferación de estas herramientas genera nuevos riesgos para los bancos regionales y las instituciones financieras, al permitir que los actores de amenazas globales superen las barreras lingüísticas, culturales y técnicas que antes limitaban los ataques. Esta expansión complica significativamente la detección y prevención del fraude.

Sudeste asiático: un foco de explotación de la NFC

Los investigadores advierten que el Sudeste Asiático se ha convertido en un campo de pruebas para el fraude basado en NFC. En países como Filipinas, el auge de los pagos sin contacto y la prevalencia de transacciones de bajo valor que a menudo eluden la verificación del PIN hacen que estos ataques sean particularmente efectivos.

Las herramientas clandestinas comunes que permiten el fraude NFC incluyen:

• Z-NFC y X-NFC: conocidos por clonar y utilizar datos de tarjetas robadas en transacciones en tiempo real.
• SuperCard X y Track2NFC: ampliamente disponibles en foros de la dark web y grupos de chat privados, permiten a los atacantes realizar pagos sin contacto no autorizados.

Las transacciones derivadas de estos ataques a menudo parecen legítimas y se originan en dispositivos autenticados, lo que dificulta su detección y prevención, especialmente en los sistemas financieros en tiempo real.