Il mondo del cybercrimine che prende di mira Android si arricchisce costantemente di nuove minacce. A tal proposito, l’ultima allerta arriva dagli analisti di ThreatFabric, che hanno individuato un trojan battezzato PhantomCard. Si tratta di un software malevolo particolarmente insidioso. Capace di sfruttare la tecnologia NFC per carpire i dati delle carte di pagamento in tempo reale. Così da permettere ai criminali di svuotare rapidamente i conti correnti delle vittime. Gli specialisti spiegano che PhantomCard viene distribuito attraverso applicazioni fasulle, presentate come strumenti affidabili per la protezione delle carte di credito. Tali app non compaiono sullo store ufficiale di Google, ma su siti contraffatti che riproducono con cura l’aspetto del Play Store. Per rendere il tutto più convincente, vengono mostrate recensioni inventate e giudizi positivi, studiati per spingere gli utenti più ingenui a fidarsi e procedere con il download.
Nuovo malware PhantomCard in arrivo sui dispositivi Android
La campagna di diffusione sfrutta soprattutto messaggi di smishing, ossia SMS ingannevoli che invitano a cliccare su un link. Ma non mancano anche altre tattiche di ingegneria sociale. Una volta installato, il malware si presenta con un’interfaccia credibile e invita l’utente a poggiare la propria carta di pagamento sul retro del telefono. Fingendo si tratti di una procedura di verifica o di autenticazione di sicurezza. In realtà, in quel momento i dati vengono catturati e trasmessi ai server gestiti dai criminali.
E non è tutto. La vittima è indotta a digitare anche il PIN, offrendo così ai truffatori tutto ciò che serve per usare la carta come se fosse fisica. Con tali informazioni in mano, diventa possibile effettuare acquisti ai POS abilitati o prelevare denaro dai bancomat che supportano l’NFC. Per rendere l’operazione ancora più difficile da rintracciare, gli autori del trojan si servono dei cosiddetti money mules. Soggetti che prestano o cedono inconsapevolmente i propri dispositivi. Su tali telefoni transitano i dati rubati, che vengono poi reindirizzati verso terminali di pagamento. Rendendo il flusso delle transazioni fulmineo e complicato da intercettare.
Secondo le indagini, dietro PhantomCard ci sarebbe un programmatore già noto nell’ambiente del malware Android. Lo stesso che aveva diffuso in passato varianti come BTMOB e GhostSpy. Le prime infezioni sono state documentate in Brasile, ma non si tratta di un fenomeno isolato. Gli utenti Android, avvertono i ricercatori, dovrebbero adottare estrema cautela. È necessario scaricare applicazioni solo dallo store ufficiale, diffidare dei link inviati tramite SMS o email e non fornire mai dati sensibili.
