Una nuova ondata di malware Android sta colpendo il settore bancario, mettendo a rischio gli utenti attraverso tecniche avanzate che sfruttano NFC, social engineering e vulnerabilità di sistema. Tra le minacce più rilevanti è emerso PhantomCard, un trojan che sfrutta la tecnologia NFC dei dispositivi moderni per attuare attacchi relay, permettendo ai criminali di effettuare transazioni fraudolente come se avessero la carta fisica della vittima in mano. PhantomCard si diffonde tramite pagine web che simulano app di protezione delle carte, inducendo l’utente a scaricare un’app malevola e inserire il proprio PIN, che viene poi trasmesso agli attaccanti.

L’app, una volta installata, chiede all’utente di avvicinare la carta al telefono per una falsa verifica. In realtà, il malware intercetta i dati NFC e li invia a server controllati dai cybercriminali, collegando la carta della vittima a un terminale POS o ATM nelle mani dell’attaccante. Questo tipo di attacco, basato su servizi malware-as-a-service come NFU Pay, sottolinea la crescente professionalizzazione del cybercrimine, che offre strumenti pronti all’uso anche a soggetti senza competenze tecniche avanzate.

Non si tratta di un fenomeno isolato: sono numerosi i servizi underground che permettono la clonazione di carte tramite NFC e la realizzazione di transazioni non autorizzate, con particolare diffusione in America Latina e Sud-est asiatico, regioni individuate come veri e propri laboratori di sperimentazione di queste frodi. Gli attacchi sono resi ancora più insidiosi dal crescente uso dei pagamenti contactless e dalla tendenza, in alcuni mercati, a non richiedere il PIN per transazioni di basso valore.

SpyBanker e altre campagne parallele

Parallelamente, campagne come SpyBanker colpiscono il mercato indiano sfruttando canali come WhatsApp e app finte di assistenza clienti per intercettare chiamate, raccogliere dati bancari e deviare SMS e notifiche. Alcune app malevole agiscono come dropper, caricando dinamicamente payload dannosi per sfuggire ai controlli statici e complicare l’analisi.

Rooting e vulnerabilità dei framework

Un ulteriore livello di rischio deriva dallo sfruttamento di framework di rooting come KernelSU, APatch e SKRoot, che consentono agli attaccanti di ottenere privilegi di root e il controllo totale del dispositivo. Vulnerabilità in questi componenti, se sfruttate da app malevole installate prima delle app legittime di gestione root, possono compromettere completamente la sicurezza dell’utente.

Questi scenari evidenziano la necessità di una costante attenzione da parte degli utenti Android, che dovrebbero evitare il sideload di app non ufficiali, diffidare di richieste sospette e mantenere aggiornati i propri dispositivi per ridurre il rischio di infezione e di frodi bancarie.