Эксперты компании ThreatFabric сообщили о выявлении Android-трояна PhantomCard, который способен в режиме реального времени передавать данные банковских карт через NFC. По их словам, эта вредоносная программа позволяет мошенникам расплачиваться в магазинах или снимать наличные так, словно карта жертвы физически находится рядом.
Эксперты уточнили, что PhantomCard создан на основе китайской платформы «вредонос как услуга» и фактически работает по схеме «удалённого клонирования». Когда мошенник подносит телефон к банкомату или POS-терминалу, устройство считает, что к нему приложена карта жертвы. Первые подобные инструменты, среди которых NFSkate и Ghost Tap, начали активно использоваться ещё в 2024 году. Сейчас наблюдается рост спроса на сервисы «NFC-троянов по подписке», доступных даже для тех, кто не обладает серьёзными техническими знаниями.
В Бразилии PhantomCard распространялся под видом легального приложения Proteção Cartões («Защита карт»). Программа размещалась на поддельных страницах Google Play с подстроенными отзывами и высоким рейтингом. После установки приложение предлагало «проверить карту», предлагая приложить её к смартфону. В этот момент происходило считывание NFC-данных, которые отправлялись на сервер злоумышленников. При необходимости вводить ПИН-код троян запрашивал его под видом дополнительной проверки безопасности.
Специалисты ThreatFabric сообщили, что PhantomCard ориентирован на карты стандарта EMV и работает с протоколом ISO-DEP (ISO 14443-4). Вредоносный код отправляет команду APDU для выбора платёжного каталога и получения информации о приложениях на карте. Внутри программы обнаружены китайские отладочные строки и упоминания «NFU Pay» — известной платформы для атак через NFC. Это указывает на то, что PhantomCard является модифицированной версией, купленной у китайских разработчиков.
Хотя на текущий момент зафиксированные атаки связаны с Бразилией, специалисты предупреждают, что платформа NFU Pay легко адаптируется к новым условиям. Аналогичные схемы могут появиться и в других странах, что повышает риски масштабного распространения подобных атак.