كشف باحثون في الأمن السيبراني عن برمجية خبيثة جديدة تستهدف أجهزة أندرويد تحمل اسم PhantomCard، تقوم باستغلال تقنية الاتصال قريب المدى NFC لتنفيذ هجمات إعادة الإرسال لتمرير بيانات البطاقات البنكية وإجراء معاملات احتيالية.
ووفقاً لشركة ThreatFabric، تعمل PhantomCard على تمرير بيانات البطاقة المصرفية من جهاز الضحية إلى جهاز المهاجم، معتمدة على برمجية خبيثة من أصل صيني تُباع كخدمة تعرف باسم NFU Pay.
ويتم توزيع التطبيق الضار عبر صفحات مزيفة شبيهة بمتجر جوجل بلاي تحمل أسماء مثل “Proteção Cartões”، وتستخدم مراجعات وهمية مقنعة لخداع المستخدمين وتنزيله.
كيفية عمل الهجوم
بمجرد تثبيت التطبيق، يطلب من الضحية وضع البطاقة البنكية على ظهر الهاتف للتحقق، بينما في الحقيقة يتم تمرير البيانات مباشرة إلى خادم يتحكم به المهاجم. بعد ذلك يُطلب من المستخدم إدخال الرقم السري PIN، ليتم تمريره بدوره للمجرمين الذين يستخدمونه لإجراء عمليات السحب والدفع عبر أجهزة نقاط البيع أو الصرافات الآلية كما لو كانت البطاقة بحوزتهم فعلياً.
تشير ThreatFabric إلى أن البرمجية تتواصل مع تطبيق مخصص لدى المهاجم لاستقبال البيانات وضمان الربط المباشر بين بطاقة الضحية وجهاز الدفع.
سوق مظلم لخدمات NFC الخبيثة
أكدت تقارير أمنية أن مطوراً يُعرف باسم Go1ano في البرازيل يقوم بإعادة بيع هذه البرمجيات، موضحاً أن PhantomCard تعمل عالمياً بنسبة كشف معدومة، وتدعم جميع أجهزة نقاط البيع الممكّنة بتقنية NFC. كما روج لعلاقاته مع عائلات برمجيات خبيثة أخرى مثل BTMOB وGhostSpy.
وتعد NFU Pay واحدة من عدة خدمات غير مشروعة متداولة في الأسواق السوداء، إلى جانب أدوات مثل SuperCard X وKingNFC وX/Z/TX-NFC، ما يزيد من تعقيد المشهد الأمني للبنوك والمؤسسات المالية، خاصة مع إزالة الحواجز الجغرافية والثقافية التي كانت تحد من انتشار التهديدات.
تزايد الاحتيال في آسيا
أشارت تقارير أمنية إلى أن جنوب شرق آسيا أصبح بمثابة “حقل تجارب” لجرائم الاحتيال عبر NFC، مع استهداف البنوك ومزودي الخدمات المالية بشكل متزايد.
ذكرت شركة Resecurity أن أدوات مثل Z-NFC وSuperCard X تتيح للمهاجمين استنساخ بيانات البطاقات المسروقة وإجراء معاملات غير مصرّح بها عبر أجهزة تدعم الدفع اللاتلامسي، وهو ما يصعب اكتشافه في الوقت الفعلي، خاصة في الأسواق التي تشهد ارتفاعاً في استخدام المدفوعات الرقمية.
استهداف مستخدمي البنوك في الهند
بالتوازي، اكتشفت شركة K7 Security حملة خبيثة جديدة تستهدف عملاء البنوك في الهند عبر برمجية تُعرف باسم SpyBanker، يتم توزيعها غالباً عبر تطبيقات وهمية على واتساب تتظاهر بأنها أدوات مساعدة للعملاء.
تقوم البرمجية بتغيير إعدادات إعادة توجيه المكالمات إلى رقم يسيطر عليه المهاجمون، مما يسمح لهم باعتراض المكالمات الواردة. كما تمتلك القدرة على جمع بيانات بطاقات SIM والمعلومات البنكية الحساسة والرسائل النصية والإشعارات.
كما رصدت شركات أمنية تطبيقات مزيفة تحمل أسماء مؤسسات مالية هندية مثل Axis Bank وICICI Bank وState Bank of India، تقوم بخداع المستخدمين لإدخال بياناتهم الشخصية والمالية، وفي الوقت نفسه تنشر برمجية تعدين للعملات الرقمية XMRig على الأجهزة المصابة.
استغلال صلاحيات الروت في أندرويد
كشفت شركة Zimperium zLabs عن استغلال أطر عمل مثل KernelSU وAPatch وSKRoot للحصول على صلاحيات الجذر والسيطرة الكاملة على الأجهزة. وأوضحت أن ثغرة في KernelSU سمحت للمهاجمين بالانتحال كمدير رسمي للنظام والسيطرة الكاملة على الجهاز إذا تم تشغيل التطبيق الخبيث قبل التطبيق الشرعي.
وأكد الباحثون أن ضعف تطبيق ضوابط المصادقة والتحكم في الوصول يفتح الباب أمام هجمات تمنح المهاجمين صلاحيات غير محدودة على أجهزة أندرويد.
نشاط إجرامي منظم مدفوع بالصين
أشارت تقارير حديثة إلى أن جهات تهديد ناطقة بالصينية تستخدم أسلوب Ghost Tap لتنفيذ عمليات احتيال تجزئة عبر تقنيات الدفع اللاتلامسي، من خلال استغلال بيانات بطاقات مسروقة مرتبطة بخدمات مثل Apple Pay وGoogle Pay.
وتبين أن هذه الجهات تبيع هواتف مهيأة مسبقاً وتوفر خدمات “التحويل الشبحي” عبر منصات ضمان في تيليجرام، ما يتيح لمجرمين محليين استخدام البطاقات المسروقة في شراء السلع ثم إعادة بيعها لتحقيق أرباح ضخمة.
