CyberThao
Writer
Các nhà nghiên cứu an ninh mạng vừa phát hiện trojan Android mới mang tên PhantomCard, lợi dụng giao tiếp tầm gần (NFC) để thực hiện tấn công chuyển tiếp, nhắm vào khách hàng ngân hàng tại Brazil. Phần mềm này chuyển dữ liệu từ thẻ ngân hàng của nạn nhân sang thiết bị kẻ lừa đảo, dựa trên công nghệ chuyển tiếp NFC có nguồn gốc từ Trung Quốc.
PhantomCard được phân phối qua các trang web Google Play giả mạo, đóng vai ứng dụng bảo vệ thẻ như "Proteção Cartões" (gói "com.nfupay.s145" hoặc "com.rc888.baxi.English"). Các trang này hiển thị đánh giá tích cực giả để dụ nạn nhân tải ứng dụng. Sau khi cài, ứng dụng yêu cầu người dùng đặt thẻ vào mặt sau điện thoại để “xác minh”. Thực chất, dữ liệu thẻ được gửi tới máy chủ do kẻ tấn công kiểm soát, kèm yêu cầu nhập mã PIN để xác thực giao dịch gian lận.
Kẻ tấn công dùng PhantomCard để thiết lập kết nối trực tiếp giữa thẻ của nạn nhân và máy POS/ATM, cho phép giao dịch như thể đang cầm thẻ thật. Công ty ThreatFabric cho biết phần mềm này do Go1ano phát triển, dựa trên dịch vụ NFU Pay – một nền tảng bất hợp pháp của Trung Quốc rao bán trên Telegram, tương thích với hầu hết thiết bị POS hỗ trợ NFC và khó bị phát hiện.
Ngoài PhantomCard, nhiều công cụ tương tự như SuperCard X, KingNFC, X/Z/TX-NFC cũng đang tràn lan trên chợ đen, làm gia tăng rủi ro cho các tổ chức tài chính toàn cầu.
Tại Ấn Độ, SpyBanker – một trojan Android khác – được phát tán qua WhatsApp, giả dạng ứng dụng dịch vụ khách hàng ngân hàng. Nó chỉnh sửa số chuyển tiếp cuộc gọi tới số do kẻ tấn công kiểm soát, thu thập thông tin SIM, dữ liệu ngân hàng, tin nhắn SMS và thông báo. Một số ứng dụng thẻ tín dụng giả (Axis Bank, ICICI, IndusInd, Ngân hàng Nhà nước Ấn Độ) còn cài trình đào tiền điện tử XMRig và giả giao diện để đánh cắp thông tin thẻ.
Những ứng dụng này thường hoạt động như dropper – ban đầu vô hại, sau đó tải và kích hoạt mã độc thật. Các trang lừa đảo mạo danh ngân hàng còn tải tài nguyên trực tiếp từ website chính thức để tạo cảm giác hợp pháp, kèm nút “Tải ứng dụng” để cài tệp APK độc hại.
Ngoài ra, báo cáo từ Zimperium zLabs cho thấy các nền tảng root như KernelSU, APatch, SKRoot có thể bị khai thác để giành quyền root hoàn toàn. Lỗ hổng trong KernelSU 0.5.7 cho phép ứng dụng độc hại xác thực như trình quản lý chính thức, chiếm quyền điều khiển thiết bị Android đã root, nếu được chạy trước ứng dụng KernelSU hợp pháp.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/new-android-malware-wave-hits-banking.html
PhantomCard được phân phối qua các trang web Google Play giả mạo, đóng vai ứng dụng bảo vệ thẻ như "Proteção Cartões" (gói "com.nfupay.s145" hoặc "com.rc888.baxi.English"). Các trang này hiển thị đánh giá tích cực giả để dụ nạn nhân tải ứng dụng. Sau khi cài, ứng dụng yêu cầu người dùng đặt thẻ vào mặt sau điện thoại để “xác minh”. Thực chất, dữ liệu thẻ được gửi tới máy chủ do kẻ tấn công kiểm soát, kèm yêu cầu nhập mã PIN để xác thực giao dịch gian lận.
Kẻ tấn công dùng PhantomCard để thiết lập kết nối trực tiếp giữa thẻ của nạn nhân và máy POS/ATM, cho phép giao dịch như thể đang cầm thẻ thật. Công ty ThreatFabric cho biết phần mềm này do Go1ano phát triển, dựa trên dịch vụ NFU Pay – một nền tảng bất hợp pháp của Trung Quốc rao bán trên Telegram, tương thích với hầu hết thiết bị POS hỗ trợ NFC và khó bị phát hiện.
Ngoài PhantomCard, nhiều công cụ tương tự như SuperCard X, KingNFC, X/Z/TX-NFC cũng đang tràn lan trên chợ đen, làm gia tăng rủi ro cho các tổ chức tài chính toàn cầu.
Chiến dịch tấn công mở rộng sang Ấn Độ và Đông Nam Á
Tại Đông Nam Á, các vụ gian lận NFC đang gia tăng, đặc biệt ở Philippines, nơi thanh toán không tiếp xúc phổ biến và nhiều giao dịch giá trị thấp bỏ qua xác minh PIN. Điều này khiến việc phát hiện và ngăn chặn gian lận trở nên khó khăn hơn.Tại Ấn Độ, SpyBanker – một trojan Android khác – được phát tán qua WhatsApp, giả dạng ứng dụng dịch vụ khách hàng ngân hàng. Nó chỉnh sửa số chuyển tiếp cuộc gọi tới số do kẻ tấn công kiểm soát, thu thập thông tin SIM, dữ liệu ngân hàng, tin nhắn SMS và thông báo. Một số ứng dụng thẻ tín dụng giả (Axis Bank, ICICI, IndusInd, Ngân hàng Nhà nước Ấn Độ) còn cài trình đào tiền điện tử XMRig và giả giao diện để đánh cắp thông tin thẻ.
Những ứng dụng này thường hoạt động như dropper – ban đầu vô hại, sau đó tải và kích hoạt mã độc thật. Các trang lừa đảo mạo danh ngân hàng còn tải tài nguyên trực tiếp từ website chính thức để tạo cảm giác hợp pháp, kèm nút “Tải ứng dụng” để cài tệp APK độc hại.
Ngoài ra, báo cáo từ Zimperium zLabs cho thấy các nền tảng root như KernelSU, APatch, SKRoot có thể bị khai thác để giành quyền root hoàn toàn. Lỗ hổng trong KernelSU 0.5.7 cho phép ứng dụng độc hại xác thực như trình quản lý chính thức, chiếm quyền điều khiển thiết bị Android đã root, nếu được chạy trước ứng dụng KernelSU hợp pháp.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/new-android-malware-wave-hits-banking.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview