Jak usunąć trojana bankowego PhantomCard/NFCShare z Androida

Czym jest PhantomCard/NFCShare?

PhantomCard i NFCShare to dwie nadane przez badaczy nazwy tego samego trojana bankowego na Androida, który wykorzystuje ataki przekaźnikowe NFC do kradzieży danych zbliżeniowych kart płatniczych i kodów PIN. Firma ThreatFabric nazwała wariant atakujący Brazylię PhantomCard; firma D3Lab nazwała wariant atakujący Włochy NFCShare. Oba są regionalnymi wariantami tej samej chińskiej rodziny Malware-as-a-Service znanej jako NFU Pay.

Przegląd malware PhantomCard/NFCShare

PhantomCard/NFCShare opiera się na atakach typu NFC relay. Po zainstalowaniu złośliwa aplikacja wyświetla fałszywy ekran weryfikacji karty, informujący ofiarę, aby przyłożyła swoją kartę płatniczą zbliżeniową do tyłu telefonu. W tle aplikacja po cichu przechwytuje dane karty za pośrednictwem wbudowanego czytnika NFC urządzenia.

Fałszywy ekran imituje prawdziwą kontrolę bezpieczeństwa bankowego, prowadząc ofiarę przez trzy kroki: przyłożenie karty do telefonu, oczekiwanie na jej wykrycie, a następnie wprowadzenie kodu PIN. Komunikaty bardzo przypominają prawdziwe procedury weryfikacji bankowej, a wielu ofiarom nie przychodzi na myśl, że coś jest nie tak.

Po przechwyceniu danych karty i kodu PIN są one przesyłane w czasie rzeczywistym przez połączenie WebSocket do serwerów kontrolowanych przez atakujących. Przestępca po drugiej stronie używa aplikacji towarzyszącej do emulacji karty ofiary na własnym urządzeniu.

Za pomocą emulowanej karty atakujący może dokonywać nieautoryzowanych płatności zbliżeniowych w terminalach POS lub wypłacać gotówkę z bankomatów. Fizyczna karta ofiary nigdy nie opuszcza jej rąk - a mimo to pieniądze mogą zostać skradzione, gdy karta wciąż jest w pobliżu.

Malware pojawiło się w dwóch odrębnych kampaniach regionalnych. W Brazylii firma ThreatFabric udokumentowała je jako PhantomCard - podszywało się pod aplikację „Card Protection" dystrybuowaną przez fałszywe strony Google Play Store z sfabrykowanymi recenzjami użytkowników. We Włoszech firma D3Lab udokumentowała je jako NFCShare, rozprzestrzeniane przez strony phishingowe podszywające się pod Deutsche Bank Italy, które instruowały odwiedzających, aby pobrali plik APK jako rzekomo wymaganą aktualizację aplikacji bankowej.

Pod maską obie wersje współdzielą tę samą bazę kodu NFC relay, ten sam interfejs użytkownika (przetłumaczony na język lokalny) oraz podobną obfuskację ciągów znaków. ThreatFabric przypisuje platformę NFU Pay - chińskiej ofercie Malware-as-a-Service, która pozwala operatorom tworzyć dostosowane wersje ukierunkowane na konkretne regiony z własnymi przynętami bankowymi.

Malware atakuje dane kart płatniczych EMV, a wersja NFCShare wykorzystuje szyfrowanie XOR za pośrednictwem NPStringFog, aby ukryć adres serwera przed narzędziami bezpieczeństwa. Zawiera również osadzone ciągi znaków w języku chińskim, spójne z tym samym zestawem narzędzi.

Należy wspomnieć, że twórcy malware często ulepszają swoje oprogramowanie i metodologie, więc przyszłe wersje mogą zyskać nowe możliwości. Podsumowując, obecność PhantomCard/NFCShare na urządzeniu może prowadzić do poważnych strat finansowych, poważnych problemów z prywatnością i kradzieży tożsamości.

Przykłady trojanów bankowych

Przykładami innych trojanów bankowych na Androida są Massiv, Sturnus i Klopatra. Podobnie jak PhantomCard/NFCShare, zagrożenia tego rodzaju wykorzystują zaufanie do znanych interfejsów bankowych w celu dokonywania kradzieży bez świadomości ofiary.

Niezależnie od wariantu, efekt końcowy jest taki sam: skradzione dane uwierzytelniające płatności, nieautoryzowane transakcje i wyczyszczone konta. Zachowanie czujności wobec nieoficjalnych próśb o pobranie aplikacji jest jednym z najskuteczniejszych środków obrony.

Jak PhantomCard/NFCShare dostał się na moje urządzenie?

PhantomCard/NFCShare dociera do ofiar poprzez kampanie dostosowane do konkretnych krajów. W Brazylii rozprzestrzenia się przez fałszywe strony Google Play Store podszywające się pod legalną aplikację, z sfabrykowanymi recenzjami użytkowników. Ofiary, które pobierają i instalują plik APK z tych stron, nieświadomie przyznają trojanowi dostęp do sprzętu NFC swojego urządzenia.

We Włoszech to samo malware jest dostarczane przez strony phishingowe imitujące Deutsche Bank Italy. Strony te naciskają na odwiedzających, aby pobrali plik APK opisany jako wymagana aktualizacja aplikacji bankowej, wykorzystując taktyki phishingowe, aby wymusić nieoficjalną instalację poza sklepem z aplikacjami.

Trojany bankowe tego rodzaju rozprzestrzeniają się również poprzez linki w wiadomościach SMS, posty w mediach społecznościowych i sklepy z aplikacjami firm trzecich. Każda aplikacja, którą trzeba pobrać poprzez link w przeglądarce zamiast z oficjalnego sklepu Google Play Store, powinna budzić poważne podejrzenia.

Jak uniknąć instalacji malware?

Pobieraj aplikacje wyłącznie z oficjalnego sklepu Google Play Store lub bezpośrednio ze zweryfikowanej strony internetowej swojego banku. Legalne banki nie proszą klientów o instalowanie aktualizacji aplikacji poprzez pobieranie pliku APK za pomocą linku w SMS-ie lub na nieoficjalnej stronie internetowej.

Aktualizuj system Android i wszystkie zainstalowane aplikacje oraz korzystaj z renomowanego mobilnego narzędzia bezpieczeństwa. Jeśli jakakolwiek aplikacja prosi o przyłożenie karty płatniczej do telefonu lub wprowadzenie kodu PIN poza oficjalną aplikacją banku, natychmiast przerwij i skontaktuj się z bankiem pod jego oficjalnym numerem, aby zgłosić to żądanie.

Fałszywa nakładka weryfikacji karty NFC PhantomCard (wariant w języku portugalskim, skierowany na Brazylię):

Fałszywa nakładka weryfikacji karty NFC NFCShare (wariant w języku włoskim, skierowany na Włochy):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki Chrome?
• Jak wyłączyć powiadomienia przeglądarki Chrome?
• Jak zresetować przeglądarkę Chrome?
• Jak usunąć historię przeglądania z przeglądarki Firefox?
• Jak wyłączyć powiadomienia przeglądarki Firefox?
• Jak zresetować przeglądarkę Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z Androidem w „Trybie awaryjnym"?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje z uprawnieniami administratora?

Usuwanie historii przeglądania z przeglądarki Chrome:

Dotknij przycisku „Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia" w otwartym menu rozwijanym.

Dotknij „Wyczyść dane przeglądania", wybierz kartę „ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie dotknij „Wyczyść dane".

[Wróć do Spisu treści]

Wyłączanie powiadomień przeglądarki Chrome:

Dotknij przycisku „Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia" w otwartym menu rozwijanym.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryn" i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia" i dotknij jej.

Znajdź strony internetowe, które dostarczają powiadomienia przeglądarki, dotknij ich i kliknij „Wyczyść i resetuj". Spowoduje to usunięcie uprawnień przyznanych tym stronom do dostarczania powiadomień. Jednakże po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona trafi do sekcji „Zablokowane" i nie będzie już prosić o pozwolenie).

[Wróć do Spisu treści]

Resetowanie przeglądarki Chrome:

Przejdź do „Ustawienia", przewiń w dół, aż zobaczysz „Aplikacje" i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome", wybierz ją i dotknij opcji „Pamięć".

Dotknij „ZARZĄDZAJ PAMIĘCIĄ", następnie „WYCZYŚĆ WSZYSTKIE DANE" i potwierdź operację, dotykając „OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Usuwanie historii przeglądania z przeglądarki Firefox:

Dotknij przycisku „Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia" w otwartym menu rozwijanym.

Przewiń w dół, aż zobaczysz „Wyczyść prywatne dane" i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYCZYŚĆ DANE".

[Wróć do Spisu treści]

Wyłączanie powiadomień przeglądarki Firefox:

Odwiedź stronę internetową, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska URL (ikona niekoniecznie będzie „Kłódką") i wybierz „Edytuj ustawienia witryny".

W otwartym oknie dialogowym zaznacz opcję „Powiadomienia" i dotknij „WYCZYŚĆ".

[Wróć do Spisu treści]

Resetowanie przeglądarki Firefox:

Przejdź do „Ustawienia", przewiń w dół, aż zobaczysz „Aplikacje" i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox", wybierz ją i dotknij opcji „Pamięć".

Dotknij „WYCZYŚĆ DANE" i potwierdź operację, dotykając „USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się na wszystkich stronach internetowych.

[Wróć do Spisu treści]

Odinstalowywanie potencjalnie niechcianych i/lub złośliwych aplikacji:

Przejdź do „Ustawienia", przewiń w dół, aż zobaczysz „Aplikacje" i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij „Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. wyświetla się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego".

[Wróć do Spisu treści]

Uruchamianie urządzenia z Androidem w „Trybie awaryjnym":

„Tryb awaryjny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji firm trzecich. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają użytkownikom ich usunięcie, gdy urządzenie działa „normalnie").

Naciśnij i przytrzymaj przycisk „Zasilanie", aż zobaczysz ekran „Wyłącz". Dotknij ikony „Wyłącz" i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny" i będzie można go uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdzanie zużycia baterii przez różne aplikacje:

Przejdź do „Ustawienia", przewiń w dół, aż zobaczysz „Konserwacja urządzenia" i dotknij tej opcji.

Dotknij „Bateria" i sprawdź zużycie każdej aplikacji. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii w celu zapewnienia najlepszego doświadczenia użytkownika i oszczędzania energii. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdzanie zużycia danych przez różne aplikacje:

Przejdź do „Ustawienia", przewiń w dół, aż zobaczysz „Połączenia" i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Użycie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby minimalizować zużycie danych. Oznacza to, że ogromne zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania wyłącznie wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno zużycie danych mobilnych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Instalowanie najnowszych aktualizacji oprogramowania:

Utrzymywanie oprogramowania na bieżąco jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia", przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania" i dotknij tej opcji.

Dotknij „Pobierz aktualizacje ręcznie" i sprawdź, czy są dostępne jakiekolwiek aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobieraj aktualizacje automatycznie" - pozwoli to systemowi powiadomić Cię o wydaniu aktualizacji i/lub zainstalować ją automatycznie.

[Wróć do Spisu treści]

Przywracanie systemu do stanu domyślnego:

Wykonanie „Przywracania ustawień fabrycznych" jest dobrym sposobem na usunięcie wszystkich niechcianych aplikacji, przywrócenie ustawień systemowych do wartości domyślnych i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane na urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia", przewiń w dół, aż zobaczysz „Informacje o telefonie" i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetowanie" i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„Resetuj ustawienia" - przywraca wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe" - przywraca wszystkie ustawienia związane z siecią do wartości domyślnych;
„Przywracanie danych fabrycznych" - resetuje cały system i całkowicie usuwa wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłączanie aplikacji z uprawnieniami administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić jak największe bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich posiadać.

Przejdź do „Ustawienia", przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia" i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń", dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia".

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEZAKTYWUJ".

Często zadawane pytania (FAQ)

Moje urządzenie z Androidem jest zainfekowane PhantomCard/NFCShare, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Formatowanie urządzenia pamięci masowej zazwyczaj nie jest konieczne do usunięcia PhantomCard/NFCShare. Uruchomienie renomowanej mobilnej aplikacji antywirusowej, takiej jak Combo Cleaner, powinno wystarczyć do wykrycia i usunięcia malware bez konieczności czyszczenia urządzenia.

Jakie są największe problemy, które może spowodować PhantomCard/NFCShare?

Najbardziej bezpośrednim zagrożeniem jest kradzież finansowa. Malware przechwytuje dane zbliżeniowych kart płatniczych i kody PIN w czasie rzeczywistym, umożliwiając atakującym dokonywanie zakupów lub wypłat z bankomatów przy użyciu emulowanej kopii karty ofiary. Ofiary często nie zdają sobie sprawy, że coś jest nie tak, dopóki na ich wyciągu bankowym nie pojawią się nieautoryzowane obciążenia.

Czy PhantomCard/NFCShare może ukraść pieniądze z mojej zbliżeniowej karty płatniczej bez mojej wiedzy?

Tak. Malware nakłania ofiary do przyłożenia karty płatniczej do telefonu i wprowadzenia kodu PIN przez fałszywy ekran weryfikacji. Przechwycone dane są natychmiast przesyłane do atakujących, którzy emulują kartę na własnym urządzeniu i używają jej do płatności zbliżeniowych lub wypłat z bankomatów - wszystko to bez fizycznego posiadania karty.

Jak PhantomCard/NFCShare dostał się na moje urządzenie z Androidem?

PhantomCard/NFCShare jest dystrybuowany poprzez kampanie dostosowane do konkretnych regionów: fałszywe strony Google Play Store w Brazylii i strony phishingowe podszywające się pod Deutsche Bank we Włoszech. Obie wersje opierają się na inżynierii społecznej, aby przekonać użytkowników do zainstalowania nieoficjalnego pliku APK poza oficjalnym sklepem z aplikacjami.

Czy Combo Cleaner ochroni mnie przed malware?

Combo Cleaner jest w stanie wykryć i usunąć prawie wszystkie znane infekcje malware. Należy pamiętać, że wykonanie pełnego skanowania systemu jest niezbędne, ponieważ zaawansowane złośliwe programy zazwyczaj ukrywają się głęboko w systemie.