Yangi NFC texnologiyasi orqali ishlovchi “PhantomCard” Android zararli dasturi – mobil bank xavfsizligiga jiddiy tahdid

So‘nggi paytlarda Braziliya kiberjinoyatchilik olamida yangi va xavfli tahdid yuzaga keldi. “PhantomCard” nomi bilan tanilgan bu ilg‘or zararli Android dasturi mobil bank tizimlariga qaratilgan eng yangi xurujlar toifasiga kiradi. U Near Field Communication (NFC) texnologiyasidan foydalanib, jabrlanuvchilarning haqiqiy bank kartalari bilan jinoyatchilar qurilmalari o‘rtasida yashirin “ko‘prik” yaratadi. Natijada, jinoyatchilar jismoniy karta bo‘lmasa ham real vaqtda moliyaviy mablag‘larni o‘g‘irlash imkoniga ega bo‘lishadi.

Qanday tarqaladi?

PhantomCard o‘zini “Proteção Cartões” (“Karta himoyasi”) nomli qonuniy dastur sifatida ko‘rsatadi. U soxta, ammo juda ishonarli ko‘rinishga ega Google Play Store sahifalari orqali tarqatiladi. Reklamada foydalanuvchiga “bank kartangiz xavfsizligini kuchaytirish” va’da qilinadi. Aslida esa bu dastur foydalanuvchini o‘z kartasini NFC orqali telefoniga tekkizishga undaydi, go‘yoki xavfsizlik tekshiruvi o‘tkazilayotgandek taassurot uyg‘otadi.

Ishlash mexanizmi

• Jabrlanuvchi kartasini telefoniga tekkizganda, dastur kartadagi NFC ma’lumotlarini yashirincha o‘qib oladi va shifrlangan kanal orqali jinoyatchilarning qurilmasiga yuboradi.
• Bu ma’lumotlar yordamida jinoyatchilar POS terminallari yoki bankomatlarda tranzaksiyalarni xuddi karta egasidek amalga oshiradi.
• PIN-kod ham alohida o‘ylangan soxta interfeys orqali qo‘lga kiritiladi.

Texnik jihatlar

Threat Fabric tahlilchilari aniqlashicha, PhantomCard aslida Xitoyda ishlab chiqilgan “NFU Pay” Malware-as-a-Service platformasining moslashtirilgan versiyasidir. Bu esa xalqaro kiberjinoyat vositalari mintaqaviy jinoyatchilar tomonidan o‘zlashtirilayotganining yaqqol dalilidir.

PhantomCard Braziliya foydalanuvchilarini nishonga olsa-da, global miqyosda ham kengayish imkoniyatiga ega. Uning C2 (Command-and-Control) serverida aynan Braziliyaga oid maxsus kodlar mavjud, masalan “/baxi/b” — bu Xitoy tilida “Bāxī” (巴西) ya’ni “Braziliya” degani.

Dastur EMV to‘lov protokollarini chuqur bilgan holda ishlab chiqilgan. U ISO-DEP (ISO 14443-4) standartidagi kontaktsiz kartalarni nishonga oladi va “scuba_smartcards” kutubxonasidan foydalanib ma’lumotlarni tahlil qiladi. NFC tegi aniqlanganda, dastur quyidagi muhim APDU buyrug‘ini yuboradi:

00A404000E325041592E5359532E444446303100

Bu buyruq 2PAY.SYS.DDF01 katalogini tanlaydi — bu katalog zamonaviy EMV to‘lov tizimlarida ishlatiladi.

Murakkab NFC Relay Arxitekturasi

PhantomCard ikki bosqichli murakkab “relay” tizimida ishlaydi:

1. NFC orqali kartadan ma’lumot olish va barqaror ulanish uchun 120 soniya (120 000 ms) taym-aut sozlash.
2. WebSocket orqali jinoyatchilar yuborgan tranzaksiya buyruqlarini qabul qilish, APDU kodlarini tahlil qilish va aniq summalar hamda valyuta kodlarini ajratib olish.

Buning natijasida jinoyatchilar masofadan turib, jabrlanuvchining karta ma’lumotlari bilan aniq nusxada tranzaksiyalarni takrorlay oladi.

Xavf darajasi

Bu zararli dastur — ijtimoiy muhandislik, mobil NFC texnologiyasi va murakkab to‘lov protokollari manipulyatsiyasini birlashtirgan holda, bank tizimlari uchun aniqlash juda qiyin bo‘lgan firibgarlik ssenariylarini yaratadi. An’anaviy xavfsizlik choralarini ham aylanib o‘tishi mumkin.