在全球网络安全领域，新的威胁层出不穷。最近，ThreatFabric 的分析师发现了一种新的安卓恶意软件，名为 PhantomCard，这是一种基于 NFC（近场通信）技术的木马，瞄准了巴西的银行客户，并可能在全球范围内扩展。PhantomCard 的出现标志着网络犯罪分子对于 NFC 中继攻击手段的兴趣和需求激增。研究表明，这一恶意软件通过假冒的“卡片保护”应用来传播，并利用社会工程学手段误导受害者安装。用户无需授予额外权限，仅需将其银行卡放在感染设备的背面，即可触发 PhantomCard 的恶意操作。

经分析，PhantomCard 控制了受害者银行卡的 NFC 数据，并将其中继至犯罪分子的设备上。这使得网络犯罪分子能够在 POS 终端或 ATM 自动执行未经授权的交易，仿佛他们持有受害者的银行卡一样。这种攻击方式对金融机构构成了极大的威胁，因为这样进行的交易在传统监控系统中几乎难以被探测到。

PhantomCard 的工作机制简单而有效。该恶意软件利用现代安卓设备上内建的 NFC 读取器，专注于符合 ISO-DEP（ISO 14443-4）标准的接触式卡片。PhantomCard 会在检测到银行卡后，使用特定的应用协议数据单元（APDU）命令与卡片交互，确认其为 EMV（Europay, MasterCard and Visa）兼容卡片并提取关于支付应用的相关元数据。一旦成功，恶意软件就会将这些数据转发到网络犯罪分子的指挥控制（C2）服务器，标记受害者的卡可以使用。

除了获取卡信息，PhantomCard 还会引导受害者输入 PIN 码，继而将其转发以便完成高价值交易。通过共享的视频资料，可以看到受害者无意中促成的交易效果，该恶意软件的成功实施使得网络犯罪活动得以无缝进行。

在技术层面上，PhantomCard 并非原创，而是一个定制版本，源自于中国的 NFU Pay 恶意软件即服务（MaaS）平台。这一现象显示，此次事件的背后，参与者日益兴起的“转售商”模式。在这种模式下，技术能力并不强的个体可以通过重新品牌化和地区定制的方式，将先进的恶意软件引入本土市场。这有助于潜在攻击者在不同地区之间的快速传播，绕过语言和文化的屏障。

此外，受害者受到的影响也不容小觑。研究人员特别提到，经过 PhantomCard 感染的设备将成为金融机构监控的强烈风险指示器。这是因为通过这种方法完成的交易不仅来源于受害者的物理卡片，而且还通过 PIN 确认，让检测变得异常复杂。

鉴于此，ThreatFabric 建议金融组织应对类似的恶意软件保持高度警惕，提升用户对伪装应用的警惕性，并增强交易分析，以便更好地识别中继欺诈行为。针对 PhantomCard 的出现，金融机构必须追踪趋势并实施有效的防御策略，以确保客户的资金安全和数据隐私。

在这个快速变化的数字环境中，PhantomCard 的出现只是网络威胁进化的一部分，预示着网络犯罪分子的策略变得更加精细。随着技术水平的不断提高，PhantomCard 可能会在未来的攻击中衍生出更多变种，威胁、欺诈行为只会愈演愈烈。相应地，整个金融行业必须不断更新其防御机制，以应对这些潜在的网络攻击。

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！