Logiciel malveillant PhantomCard Mobile
Des chercheurs en cybersécurité ont découvert un nouveau cheval de Troie Android dangereux appelé PhantomCard. Ce malware sophistiqué exploite la technologie NFC (communication en champ proche) pour mener des attaques par relais, permettant aux criminels d'effectuer des transactions frauduleuses en « clonant » virtuellement les cartes bancaires des victimes.
Table des matières
Comment fonctionne PhantomCard
PhantomCard fonctionne en relayant les données NFC de la carte de la victime vers l'appareil d'un criminel, permettant ainsi à l'attaquant d'utiliser la carte comme s'il la possédait physiquement. La conception du logiciel malveillant s'appuie sur un logiciel malveillant de relais NFC développé en Chine, plus précisément sur la plateforme NFU Pay.
L'application malveillante, déguisée en « Proteção Cartões », est distribuée via de fausses pages web Google Play imitant des services légitimes de protection de cartes. Ces pages sont enrichies de faux avis positifs pour renforcer leur crédibilité. Bien que le mode de distribution exact reste inconnu, le smishing ou des tactiques d'ingénierie sociale similaires sont probablement utilisés.
Une fois installée, l'application invite la victime à placer sa carte bancaire au dos de son téléphone pour vérification. Lorsque l'interface affiche « Carte détectée ! », le logiciel malveillant commence à transmettre les données NFC à un serveur distant contrôlé par l'attaquant. L'application demande ensuite à l'utilisateur de saisir son code PIN, qui est immédiatement envoyé au criminel pour autoriser les transactions réelles sur un terminal de point de vente ou un distributeur automatique de billets.
Le rôle de la mule dans le projet
Du côté du criminel, un dispositif mule exécute une application conçue pour recevoir les données de la carte volée. Cette configuration assure une communication fluide entre le terminal de point de vente et la carte de la victime, permettant ainsi aux attaquants d'exploiter les identifiants volés en temps réel.
Le développeur du malware, connu en ligne sous le nom de Go1ano, est connu au Brésil pour revendre des menaces Android. Les chercheurs constatent que PhantomCard est en réalité une version reconditionnée du service chinois NFU Pay, ouvertement promu sur Telegram. Le développeur affirme que l'outil est fonctionnel à l'échelle mondiale, totalement indétectable et compatible avec tous les systèmes de point de vente NFC. Il annonce également des liens étroits avec d'autres familles de malwares, notamment BTMOB et GhostSpy.
Une partie d’un écosystème croissant de fraude NFC clandestine
NFU Pay n'est qu'un des nombreux outils de relais NFC illégaux disponibles sur le marché, aux côtés de noms comme SuperCard X, KingNFC et X/Z/TX-NFC. La diffusion de ces outils engendre de nouveaux risques pour les banques et institutions financières régionales, en permettant aux acteurs malveillants internationaux de contourner les barrières linguistiques, culturelles et techniques qui limitaient auparavant les attaques. Cette expansion complique considérablement la détection et la prévention de la fraude.
L’Asie du Sud-Est : un foyer d’exploitation du NFC
Des chercheurs avertissent que l'Asie du Sud-Est est devenue un terrain d'expérimentation pour la fraude NFC. Dans des pays comme les Philippines, l'essor des paiements sans contact et la prévalence des transactions de faible montant qui contournent souvent la vérification du code PIN rendent ces attaques particulièrement efficaces.
Les outils clandestins courants permettant la fraude NFC comprennent :
- Z-NFC et X-NFC – Connus pour le clonage et l’utilisation de données de cartes volées dans les transactions en temps réel.
- SuperCard X et Track2NFC – Largement disponibles sur les forums du dark web et les groupes de discussion privés, ils permettent aux attaquants d'effectuer des paiements sans contact non autorisés.
Les transactions issues de ces attaques semblent souvent légitimes et proviennent d’appareils authentifiés, ce qui rend la détection et la prévention difficiles, en particulier dans les systèmes financiers en temps réel.
