Selon ThreatFabric, « PhantomCard » est un nouveau Trojan Android de relais NFC ciblant les clients bancaires au Brésil, dans la continuité de NFSkate/NGate (03/2024) et Ghost Tap, avec un intérêt cybercriminel croissant pour ce vecteur. L’outil, opéré sous modèle Malware-as-a-Service (MaaS), pourrait s’étendre à d’autres régions.

Dans la campagne observée, PhantomCard se fait passer pour l’application « Proteção Cartões » sur de fausses pages Google Play avec de faux avis positifs. Une fois installé, il ne requiert pas d’autorisations supplémentaires, demande à la victime de taper sa carte au dos du téléphone, affiche « carte détectée », puis transmet les données via un serveur de relais NFC. L’application sollicite ensuite le code PIN (4 ou 6 chiffres) afin d’authentifier les transactions. Le dispositif établit ainsi un canal temps réel entre la carte physique de la victime et un terminal de paiement/ATM auprès du fraudeur, démontré par une vidéo partagée sur Telegram.

Sur le plan technique, PhantomCard exploite le lecteur NFC natif et cible spécifiquement l’ISO-DEP (ISO 14443-4) des cartes EMV, en s’appuyant sur la bibliothèque scuba_smartcards. Lorsqu’une carte est détectée, il envoie notamment l’APDU 00A404000E325041592E5359532E444446303100 (SELECT 2PAY.SYS.DDF01) pour localiser les applications de paiement et lire leurs métadonnées, puis expédie ces informations au serveur. Le malware constitue la brique côté victime d’un outil de relais; le côté fraudeur/mule dispose d’une application capable de dialoguer avec le TPE et la carte ainsi relayée.

Les analyses de ThreatFabric montrent que l’opérateur brésilien « Go1ano developer » agit en tant que revendeur et non développeur. Le code contient des messages de debug en chinois et des références à NFU Pay, un service MaaS parmi d’autres (SuperCardX, KingNFC, X/Z/TX-NFC). Un endpoint C2 « /baxi/b » (巴西/Bāxī = Brésil) indique un ciblage régional; l’acteur affirme toutefois une portée globale et une capacité d’adaptation. Le revendeur se présente aussi comme partenaire de BTMOB et GhostSpy, et a annoncé le transfert de droits à « Pegasus Team » (mention de « PegasusSpy » dans des recherches précédentes sur Rocinante, sans lien avec Pegasus spyware).

IOCs 🧩

  • Nom d’app: Proteção Cartões — Package: com.nfupay.s145 — SHA256: a78ab0c38fc97406727e48f0eb5a803b1edb9da4a39e613f013b3c5b4736262f
  • Nom d’app: Proteção Cartões — Package: com.rc888.baxi.English — SHA256: cb10953f39723427d697d06550fae2a330d7fff8fc42e034821e4a4c55f5a667
  • Endpoint C2: /baxi/b

TTPs ⚙️

  • Distribution via fausses pages Google Play avec faux avis
  • Relais NFC de cartes EMV via serveur contrôlé par les cybercriminels; demande du PIN pour l’authentification
  • Promotion/démonstration via Telegram; écosystème MaaS et revente locale
  • Stack technique: ISO-DEP (ISO 14443-4), APDUs (SELECT 2PAY.SYS.DDF01), lib scuba_smartcards; architecture victime ↔ mule/TPE

Impact métier: des transactions paraissent provenir de la carte physique et validées par PIN, rendant la détection difficile (seules des métadonnées inhabituelles peuvent révéler la fraude). Il s’agit d’une analyse de menace publiée par ThreatFabric, visant à documenter le fonctionnement, l’écosystème et les IOCs/TTPs de PhantomCard.

🧠 TTPs et IOCs détectés

TTP

Distribution via fausses pages Google Play avec faux avis; Relais NFC de cartes EMV via serveur contrôlé par les cybercriminels; demande du PIN pour l’authentification; Promotion/démonstration via Telegram; écosystème MaaS et revente locale; Stack technique: ISO-DEP (ISO 14443-4), APDUs (SELECT 2PAY.SYS.DDF01), lib scuba_smartcards; architecture victime ↔ mule/TPE

IOC

SHA256: a78ab0c38fc97406727e48f0eb5a803b1edb9da4a39e613f013b3c5b4736262f; SHA256: cb10953f39723427d697d06550fae2a330d7fff8fc42e034821e4a4c55f5a667; Endpoint C2: /baxi/b

🔗 Source originale : https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil