Un nuevo y sofisticado malware Android denominado PhantomCard ha surgido de las sombras del subterráneo cibercriminal de Brasil, que representa una evolución significativa en las amenazas bancarias móviles.
Esta aplicación maliciosa aprovecha la tecnología de comunicación de campo cercano (NFC) para crear un puente perfecto entre las tarjetas bancarias físicas de las víctimas y los dispositivos de los estafadores, lo que permite el robo financiero en tiempo real sin la necesidad de posesión de la tarjeta física.
El malware se disfraza de una aplicación legítima de “Proteção Cartões” (protección de tarjetas), distribuida a través de las páginas convincentes de Fake Google Play Store que prometen una mayor seguridad para las tarjetas bancarias de los usuarios.
PhantomCard opera a través de un ingenioso mecanismo de retransmisión que transforma los teléfonos inteligentes infectados en skimmers de tarjetas remotas.
Cuando se les solicita a las víctimas que aprovechen sus tarjetas bancarias contra su teléfono para iniciar lo que creen que es un proceso de verificación de seguridad, el malware captura y transmite silenciosamente los datos de la NFC a los dispositivos de los cibercriminiales a través de canales encriptados.
Distribución de páginas falsas (Fuente – Fabric de amenaza)
Esto permite a los estafadores realizar transacciones en terminales de punto de venta o cajeros automáticos como si poseieran físicamente la tarjeta de la víctima, completa con la autenticación de PIN que el malware recolecta por separado a través de una interfaz convincente.
Analistas de amenazas de tela identificado Ese PhantomCard no es una creación original, sino una versión personalizada de la plataforma de malware como servicio “NFU Pay” originada por China.
El descubrimiento revela una tendencia preocupante en la que los actores de amenaza regional localizan y redistribuyen las herramientas cibercriminales internacionales, específicamente dirigidas a clientes bancarios brasileños mientras mantienen las capacidades de expansión global.
El servidor de comando y control del malware incluye puntos finales codificados específicamente para las operaciones brasileñas, con “/Baxi/B” que hace referencia a “Brasil” en chino (巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 巴西 uctenta).
La implementación técnica de PhantomCard demuestra una comprensión sofisticada de los protocolos de pago de EMV. El malware se dirige específicamente a las tarjetas sin contacto estándar ISO-DEP (ISO 14443-4), utilizando la biblioteca “Scuba_SmartCards” para el análisis de datos.
A la izquierda, ‘víctima’ tocando la tarjeta contra el dispositivo infectado con PhantomCard (Fuente – Fabric de amenaza)
Al detectar una etiqueta NFC, PhantomCard establece una conexión ISO-Dep y envía un comando APDU crucial: 00A404000E325041592E5359532E444446303100, que selecciona el directorio de entorno del sistema de pago.
Este comando se dirige específicamente a las tarjetas EMV accediendo al directorio “2pay.sys.ddf01” utilizado en los sistemas de pago modernos.
Arquitectura de relevos NFC avanzada
El mecanismo de retransmisión de PhantomCard funciona a través de un sofisticado proceso de dos fases que une a la perfección tarjetas físicas con terminales remotas.
El malware primero establece parámetros de conexión con extensas capacidades de registro, como se evidencia en el fragmento de código que muestra mensajes de depuración chinos: “正在建立 ISO-Dep 连接 …” (estableciendo una conexión ISO-Dep).
La aplicación establece tiempos de comunicación en 120,000 milisegundos, asegurando la transmisión de datos estable incluso en condiciones de red desafiantes.
Cuando los ciberdelincuentes inician transacciones fraudulentas, PhantomCard recibe mensajes WebSocket que contienen instrucciones de transacción.
El malware analiza estos comandos e identifica los datos de transacciones a través de la coincidencia de patrones, detectando específicamente los códigos de instrucción “80a” que indican solicitudes de autorización de pago.
Los elementos de transacción críticos, incluidos los códigos de cantidad y moneda, se extraen de posiciones de bytes específicas dentro de los comandos APDU, lo que permite una replicación de transacciones precisa en ubicaciones remotas.
Este sofisticado sistema de retransmisión representa una evolución peligrosa en las amenazas de banca móvil, combinando la ingeniería social con la manipulación avanzada de NFC para crear escenarios de fraude prácticamente indetectables que los sistemas de seguridad bancaria tradicionales luchan por identificar.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
