Redazione RHC : 16 Agosto 2025 08:31
Una nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento delle vulnerabilità dei dispositivi.
I ricercatori di ThreatFabric hanno segnalato il trojan PhantomCard, che utilizza la tecnologia di comunicazione contactless per condurre attacchi relay. Gli aggressori ottengono i dati della carta della vittima trasmettendoli tramite un server controllato al dispositivo di un complice situato vicino a un terminale di pagamento o a un bancomat. Questo crea un canale che consente di effettuare transazioni come se la carta fosse fisicamente in possesso del criminale.
PhantomCard viene distribuito tramite pagine Google Play false, camuffate da app “Proteção Cartões”, con false recensioni positive. Una volta installato, il programma chiede all’utente di collegare una carta di credito allo smartphone “per la verifica” e di inserire un PIN, che viene inviato all’aggressore. Un’applicazione equivalente sul dispositivo del complice garantisce la sincronizzazione con il terminale di pagamento.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
ThreatFabric afferma che l’azienda è dietro lo sviluppo del malware brasiliano Go1ano, che utilizza la piattaforma cinese NFU Pay, che offre servizi simili nell’ambito di un servizio di abbonamento per la diffusione di malware. Soluzioni simili includono SuperCard X , KingNFC e X/Z/TX-NFC. Gli esperti avvertono che tali servizi ampliano la superficie di attacco rimuovendo le barriere linguistiche e infrastrutturali.
I rapporti di Resecurity di luglio ha rilevato che i paesi del Sud-est asiatico, in particolare le Filippine, sono diventati un banco di prova per le frodi contactless. Lì, l’aumento dei pagamenti NFC, soprattutto per piccoli importi che non richiedono un PIN, rende le transazioni non autorizzate più facili e difficili da tracciare.
Allo stesso tempo, K7 Security ha identificato una campagna in India con un malware Android chiamato SpyBanker, distribuito tramite WhatsApp sotto le mentite spoglie di un’app di assistenza clienti bancaria. Modifica il numero di inoltro di chiamata con uno preimpostato per intercettare le chiamate in arrivo e raccoglie dati della scheda SIM, informazioni bancarie, SMS e notifiche.
Un altro vettore di attacco in India riguarda app di credito false, spacciate per grandi banche, scaricate da pagine di phishing. Secondo McAfee, questi APK agiscono come “dropper”, scaricando un modulo dannoso una volta installati. All’utente viene presentata un’interfaccia che imita quella reale, con moduli per l’inserimento di nome completo, numero di carta, CVV, data di scadenza e numero di telefono.
La funzionalità integrata consente al miner di criptovalute XMRig di essere avviato quando vengono ricevuti determinati messaggi tramite Firebase Cloud Messaging. Per mascherare la pagina, vengono caricate immagini e script da siti bancari reali, aggiungendo pulsanti di download che portano a file infetti.
La diversità degli schemi utilizzati dimostra che i dispositivi mobili stanno diventando sempre più il centro di attacchi finanziari e che la fiducia nei canali di comunicazione e di pagamento familiari sta diventando il principale anello vulnerabile nella protezione degli utenti.
RedazioneBroadcom ha risolto una grave vulnerabilità di escalation dei privilegi in VMware Aria Operations e VMware Tools, che era stata sfruttata in attacchi a partire da ottobre 2024. Al problema è stato a...
In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...
Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...
Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...
