Investigadores de ciberseguridad han revelado la existencia de un nuevo troyano para Android llamado PhantomCard, el cual utiliza la tecnología de comunicación de campo cercano (NFC) para llevar a cabo ataques de retransmisión. Este malware facilita transacciones fraudulentas dirigidas a clientes de la banca, particularmente en Brasil.
Según ThreatFabric, PhantomCard retransmite la información NFC de la tarjeta bancaria de la víctima al dispositivo del atacante. Se basa en un modelo de malware-como-servicio (MaaS) de origen chino.
Este malware para Android se distribuye a través de páginas web falsas que imitan la apariencia de aplicaciones de protección de tarjetas en Google Play, bajo nombres como “Proteção Cartões”. Estas páginas fraudulentas incluyen reseñas positivas falsas para engañar a las víctimas. La forma en que se distribuyen los enlaces a estas páginas es desconocida, pero se sospecha del uso de smishing u otras técnicas de ingeniería social.
Una vez instalada y abierta, la aplicación solicita a la víctima que coloque su tarjeta de crédito/débito en la parte posterior del teléfono para iniciar un supuesto proceso de verificación. Durante este proceso, se muestra el mensaje “¡Tarjeta Detectada! Mantenga la tarjeta cerca hasta que se complete la autenticación.”
En realidad, los datos de la tarjeta se retransmiten a un servidor de retransmisión NFC controlado por el atacante, aprovechando el lector NFC integrado en los dispositivos modernos. Posteriormente, PhantomCard solicita a la víctima que ingrese el código PIN, con el objetivo de transmitir esta información al ciberdelincuente para autenticar la transacción.
PhantomCard establece un canal entre la tarjeta física de la víctima y el terminal de punto de venta (PoS) o cajero automático (ATM) cercano al ciberdelincuente, permitiéndole usar la tarjeta como si la tuviera en sus manos.
Además de PhantomCard, se han identificado otras variantes de malware que atacan a usuarios de banca en India, editando el número de desvío de llamadas para redirigirlas a un número controlado por el atacante y robando información bancaria sensible, mensajes SMS y datos de notificaciones. También se ha detectado la distribución de aplicaciones fraudulentas de tarjetas de crédito de diferentes bancos, diseñadas para robar información personal y financiera, y para instalar un minero de criptomonedas XMRig.
Otro vector de ataque explorado es el uso de frameworks de rooting como KernelSU, APatch y SKRoot para obtener acceso root y escalar privilegios, permitiendo a los atacantes tomar control total de los dispositivos Android.
Desde INGENIERÍA TELEMÁTICA SAS, recomendamos mantener sus dispositivos Android actualizados con las últimas versiones del sistema operativo y las aplicaciones, evitar la instalación de aplicaciones desde fuentes no oficiales y ser cauteloso con las solicitudes de permisos. La protección de sus datos bancarios y personales es crucial. Si le preocupa la seguridad de sus dispositivos o la infraestructura de su empresa, no dude en contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente. Contamos con soluciones de EDR/XDR, protección de correo electrónico y seguridad en la nube para proteger sus activos.
Fuente original: Ver aquí