Los investigadores de ciberseguridad han revelado un nuevo troyano de Android llamado Aparecido que abusa de la comunicación de campo cercano (NFC) para realizar ataques de retransmisión para proveer las transacciones fraudulentas en ataques dirigidos a clientes bancarios en Brasil.
«PhantomCard transmite los datos de la NFC de la maleable bancaria de una víctima al dispositivo del estafador», dijo Amenazfabric en un crónica. «PhantomCard se plinto en el malware de relevos NFC de origen chino como servicio».
El malware de Android, distribuido a través de páginas web falsas de Google Play que imitan aplicaciones para protección de tarjetas, se pira «Proteção Cartões» (nombre del paquete «com.nfupay.s145» o «com.rc888.baxi.english»).
Las páginas falsas incluso presentan revisiones positivas engañosas para persuadir a las víctimas de que instalaran la aplicación. Actualmente no se sabe cómo se distribuyen los enlaces a estas páginas, pero es probable que implique amordazos o una técnica de ingeniería social similar.
Una vez que la aplicación se instala y abre, solicita a las víctimas que coloquen su maleable de crédito/débito en el fondo del teléfono para comenzar el proceso de demostración, momento en el cual la interfaz de favorecido muestra el mensaje: «¡Plástico detectada! Mantenga la maleable cerca hasta que se complete la autenticación».
En ingenuidad, los datos de la maleable se transmiten a un servidor de retransmisión NFC controlado por el atacante aprovechando el catedrático NFC incorporado integrado en dispositivos modernos. La aplicación PhantomCard luego solicita a la víctima que ingrese el código PIN con el objetivo de transmitir la información al cibercriminal para autenticar la transacción.
«Como resultado, PhantomCard establece un canal entre la maleable física de la víctima y el terminal / ATM POS al que el cibercriminal está al costado», explicó Amenazfabric. «Permite que el cibercriminal use la maleable de la víctima como si estuviera en sus manos».
Similar a SuperCard X, existe una aplicación equivalente en el costado de la mula que está instalado en su dispositivo para aceptar la información de la maleable robada y respaldar comunicaciones perfectas entre el terminal POS y la maleable de la víctima.
La compañía de seguridad holandesa dijo que el actor detrás del malware, GO1ano Developer, es un revendedor «en serie» de las amenazas de Android en Brasil, y que PhantomCard es en ingenuidad el trabajo de una propuesta china de malware como servicio conocida como NFU Pay que se anuncia en telegrama.
El desarrollador de Go1ano, en su propio canal de telegrama, afirma que PhantomCard funciona a nivel mundial, afirmando que es 100% indetectable y es compatible con todos los dispositivos terminales de punto de cesión (POS) habilitados para NFC. Además afirman ser un «socio de confianza» para otras familias de malware como Btmob y Ghostspy en el país.
Vale la pena señalar que NFU Pay es uno de los muchos servicios ilícitos vendidos en el medida que ofrecen capacidades de retransmisión NFC similares, como SuperCard X, KingNFC y X/Z/TX-NFC.
«Tales actores de amenazas plantean riesgos adicionales para las organizaciones financieras locales, ya que abren las puertas para una variedad más amplia de amenazas de todo el mundo, lo que podría haberse mantenido alejado de ciertas regiones conveniente a las barreras de verbo y cultural, detalles de sistema financiero, desliz de formas de efectivo», dijo Amenazfabric.
«Esto, en consecuencia, complica el panorama de amenazas para las organizaciones financieras locales y pira a un monitoreo adecuado de las amenazas y actores globales detrás de la estructura».
En un crónica publicado el mes pasado advirtiendo sobre un aumento en el fraude autorizado para NFC en Filipinas, Resecurity dijo que el sudeste oriental se ha convertido en un campo de pruebas para el fraude de NFC, con malos actores dirigidos a bancos regionales y proveedores de servicios financieros.
«Con herramientas como Z-NFC, X-NFC, SuperCard X y Track2NFC, los atacantes pueden clonar los datos de la maleable robados y realizar transacciones no autorizadas utilizando dispositivos habilitados para NFC», dijo ReseCurity.
«Estas herramientas están ampliamente disponibles en foros subterráneos y grupos de mensajes privados. El fraude resultante es difícil de detectar, ya que las transacciones parecen originarse en dispositivos confiables y autenticados. En mercados como Filipinas, donde el uso de pagos sin contacto es creciente y las transacciones de bajo valía a menudo derivan la demostración de los PIN, tales ataques son más difíciles de rastrear y detenerse en el tiempo vivo».
La divulgación se produce cuando K7 Security descubrió una campaña de malware Android denominada Spybanker dirigida a usuarios bancarios indios que probablemente se distribuye a los usuarios a través de WhatsApp bajo la apariencia de una aplicación de servicio de ayuda para el cliente.
«Curiosamente, este malware de Android Spybanker edita el» número de reenvío de llamadas «a un número de teléfono móvil codificado, controlado por el atacante, registrando un servicio llamado ‘CallforwardingService’ y redirige las llamadas del favorecido», dijo la compañía. «Las llamadas entrantes a las víctimas cuando se quedan desatendidas se desvían al número de llamamiento reenviada para aguantar a extremidad cualquier actividad maliciosa deseada».
Adicionalmente, el malware viene equipado con capacidades para resumir detalles SIM de las víctimas, información bancaria confidencial, mensajes SMS y datos de notificación.
Los usuarios bancarios indios incluso han sido atacados por el malware Android diseñado para desviar información financiera, al tiempo que eliminan simultáneamente el minero de criptomonedas XMRIG en dispositivos comprometidos. Las aplicaciones de tarjetas de crédito maliciosas se distribuyen mediante páginas de phishing convincentes que utilizan activos reales tomados de los sitios web oficiales de banca.
La nómina de aplicaciones maliciosas es la subsiguiente –
- Plástico de crédito de Axis Bank (com.nwilfxj.fxkdr)
- Plástico de crédito ICICI Bank (com.nwilfxj.fxkdr)
- Plástico de crédito Indusind (com.nwilfxj.fxkdr)
- Plástico de crédito del Tira Estatal de India (com.nwilfxj.fxkdr)
El malware está diseñado para mostrar una interfaz de favorecido hipócrita que solicita a las víctimas que ingresen su información personal, incluidos nombres, números de tarjetas, códigos CVV, fechas de vencimiento y números móviles. Un aspecto sobresaliente de la aplicación es su capacidad para escuchar mensajes específicos enviados a través de Firebase Cloud Messaging (FCM) para activar el proceso de minería.
«La aplicación entregada a través de estos sitios de phishing funciona como un cuentagotas, lo que significa que inicialmente parece inofensivo, pero luego carga dinámicamente y ejecuta la carga útil maliciosa vivo», dijo el investigador de McAfee, Dexter Shin. «Esta técnica ayuda a esquivar la detección estática y complica el investigación».
«Estas páginas de phishing cargan imágenes, JavaScript y otros capital web directamente desde los sitios web oficiales para que parezcan legítimos. Sin bloqueo, incluyen medios adicionales como ‘Get App’ o ‘Descargar’ ordenanza, lo que les solicita a los usuarios que instalaran el archivo APK desconfiado».
Los hallazgos incluso siguen un crónica de Zimperium Zlabs que detalla cómo se pueden usar marcos de rooteo como Kernelsu, Apatch y Skroot para obtener paso a la raíz y aumentar los privilegios, lo que permite que un atacante obtenga el control total de los dispositivos Android.
La compañía de seguridad móvil dijo que descubrió a mediados de 2023 una error de seguridad en Kernelsu (traducción 0.5.7) que dijo que podría permitir a los atacantes autenticarse como el administrador de Kernelsu y comprometer por completo un dispositivo Android enraizado a través de una aplicación maliciosa ya instalada en él que incluso agrupa el administrador oficial de Kernelsu APK.
Sin bloqueo, una advertencia importante para alcanzar este ataque es que solo es efectiva si la aplicación del actor de amenaza se ejecuta antiguamente de la aplicación legítima del apoderado Kernelsu.
«Conveniente a que las llamadas del sistema pueden ser activadas por cualquier aplicación en el dispositivo, la autenticación sólida y los controles de paso son esenciales», dijo el investigador de seguridad Marcel Bathke. «Desafortunadamente, esta capa a menudo se implementa mal, o completamente descuidada, lo que abre la puerta a serios riesgos de seguridad. La autenticación inadecuada puede permitir que las aplicaciones maliciosas obtengan paso a la raíz y comprometan completamente el dispositivo».
Modernizar
Google compartió la subsiguiente información con The Hacker News posteriormente de la publicación de la historia –
Según nuestra detección flagrante, no se encuentran aplicaciones que contengan este malware en Google Play. Los usuarios de Android están protegidos automáticamente con versiones conocidas de este malware por Google Play Protect, que está activado de forma predeterminada en dispositivos Android con los servicios de Google Play.
