Come rimuovere il trojan bancario PhantomCard dal tuo dispositivo Android

Che tipo di malware è PhantomCard?

PhantomCard è un trojan bancario che prende di mira i dispositivi Android. Questo malware è offerto come MaaS (Malware-as-a-Service) da un autore di minacce soprannominato “Go1ano developer”. PhantomCard non è stato sviluppato da “Go1ano developer”; si tratta di un malware personalizzato basato su “NFU Pay” MaaS creato da un autore di minacce di lingua cinese, il che rende essenzialmente “Go1ano developer” un rivenditore.

PhantomCard è progettato per trasmettere dati NFC al fine di facilitare l'uso fraudolento di carte di credito/debito. Il trojan è personalizzato per colpire gli utenti in Brasile. Tuttavia, il servizio “NFU Pay” può produrre versioni di malware adatte a specifiche diverse e “Go1ano developer” afferma di operare in tutto il mondo. Pertanto, la campagna PhantomCard potrebbe espandersi.

Panoramica sul malware PhantomCard

Nella campagna osservata che prende di mira gli utenti brasiliani, PhantomCard si è infiltrato nei dispositivi Android come applicazione di sicurezza per carte di credito/debito. È stato notato che la falsa app “Proteção Cartões” si diffondeva attraverso siti truffaldini che imitavano il Google Play Store.

A differenza di molti programmi dannosi specifici per Android, questo malware non richiede alla vittima di concedere una serie di autorizzazioni sospette. PhantomCard (sotto le spoglie dell'app di protezione delle carte) chiede all'utente di avvicinare la propria carta al retro dello smartphone per avviare il processo di verifica. Una volta completato questo passaggio, la pagina successiva lo conferma e invita a tenere la carta nelle vicinanze fino al completamento dell'autenticazione.

Durante il processo fasullo, PhantomCard si prepara a inviare NFC (Near-Field Communication) al dispositivo degli aggressori; viene quindi trasmesso attraverso un server di inoltro NFC controllato dai criminali informatici.

La schermata successiva che viene presentata alla vittima richiede l'inserimento del codice PIN della carta a scopo di verifica. Una volta inserito il PIN, una nuova pagina afferma di stare verificando la carta e sincronizzandosi con la banca.

Attraverso questo processo ingannevole, il trojan crea un canale tra la carta della vittima e il dispositivo dell'aggressore, che può quindi utilizzare presso un bancomat (Automated Teller Machine) per prelevare contanti o presso un terminale di pagamento per effettuare pagamenti contactless. Poiché gli aggressori ottengono anche il codice PIN, questo permette loro di aggirare qualsiasi operazione finanziaria che richiederebbe questo codice.

È opportuno ricordare che gli sviluppatori di malware migliorano costantemente i loro software e le loro metodologie. Pertanto, potenziali future iterazioni di PhantomCard potrebbero assumere forme diverse o avere funzionalità e caratteristiche aggiuntive/diverse.

In sintesi, la presenza di software dannosi come PhantomCard sui dispositivi può causare gravi problemi di privacy e perdite finanziarie significative.

Esempi di trojan bancari

Abbiamo scritto di numerosi programmi dannosi; DoubleTrouble, TsarBot, Marcher, Brokewell e Greenbean sono solo alcuni dei nostri articoli più recenti sui trojan bancari che prendono di mira Android.

Malware è un termine generico che indica software con una vasta gamma di funzionalità dannose, che vanno dall'estrazione di dati sensibili alla crittografia dei dati per richiedere un riscatto per la decrittografia (ransomware). Tuttavia, indipendentemente dal modo in cui il malware opera, la sua presenza minaccia la sicurezza del dispositivo e dell'utente. Pertanto, tutte le minacce devono essere eliminate immediatamente dopo il rilevamento.

Come ha fatto PhantomCard a infiltrarsi nel mio dispositivo?

Nella campagna PhantomCard nota, era camuffato come un'applicazione denominata “Proteção Cartões” (“Protezione carte”) e prendeva di mira gli utenti in Brasile. Questa app falsa è stata distribuita tramite siti web Google Play fraudolenti. Le pagine imitative scoperte erano convincenti e includevano recensioni false che elogiavano l'applicazione.

Tuttavia, va detto che PhantomCard potrebbe infiltrarsi nei dispositivi sotto diverse forme ed essere diffuso utilizzando altri metodi. In generale, phishing e l'ingegneria sociale sono metodi standard nella distribuzione di malware. I programmi dannosi sono solitamente camuffati o integrati in software/media normali.

Il malware si diffonde principalmente attraverso canali di download non affidabili (ad esempio, siti di freeware e di hosting di file gratuiti, reti di condivisione peer-to-peer, app store di terze parti, ecc.), download drive-by (furtivi/ingannevoli), malvertising, allegati/link dannosi nello spam (ad esempio, e-mail, DM/ messaggi privati, SMS, post sui social media, ecc.), truffe online, contenuti piratati, strumenti di attivazione software illegali (“crack”) e aggiornamenti falsi.

Inoltre, alcuni programmi dannosi possono diffondersi autonomamente attraverso reti locali e dispositivi di archiviazione rimovibili (ad esempio, dischi rigidi esterni, unità flash USB, ecc.).

Come evitare l'installazione di malware?

La cautela è essenziale per garantire la sicurezza dei dispositivi e degli utenti. Pertanto, prima di scaricare/acquistare un software, è necessario informarsi leggendo i termini, verificando le autorizzazioni necessarie e controllando la legittimità dello sviluppatore. Scaricare solo da canali ufficiali e affidabili. Attivare e aggiornare i programmi utilizzando funzioni/strumenti legittimi, poiché quelli acquisiti da terze parti possono contenere malware.

Inoltre, siate vigili durante la navigazione, poiché Internet è pieno di contenuti ingannevoli e dannosi. Approcciate le e-mail in arrivo e altri messaggi con cautela; non aprite allegati o link presenti in e-mail sospette.

È fondamentale avere un antivirus affidabile installato e aggiornato. Il software di sicurezza deve essere utilizzato per eseguire scansioni regolari del sistema e rimuovere le minacce rilevate.

PhantomCard chiede alla vittima di toccare la propria carta per avviare la verifica:

Schermata visualizzata dopo il completamento del primo passaggio:

PhantomCard chiede alla vittima di inserire il PIN della carta:

Falso processo di verifica visualizzato dopo l'inserimento del PIN:

Aspetto di una pagina Google Play falsa utilizzata per promuovere PhantomCard:

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come resettare il browser Chrome?
• Come cancellare la cronologia di navigazione dal browser web Firefox?
• Come disattivare le notifiche del browser Firefox?
• Come resettare il browser web Firefox?
• Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "modalità provvisoria"?
• Come controllare l'utilizzo della batteria di varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare lo stato di default del sistema?
• Come disattivare le applicazioni con privilegi di amministratore?

Eliminare la cronologia di navigazione dal browser Chrome:

Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.

Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".

[Torna al Sommario]

Disattivare le notifiche del browser nel browser Chrome:

Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.

Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.

Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).

[Torna al Sommario]

Reimpostare il browser Chrome:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.

Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".

Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.

[Torna al Sommario]

Cancellare la cronologia di navigazione dal browser Firefox:

Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.

Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".

[Torna al Sommario]

Disattivare le notifiche del browser nel browser Firefox:

Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".

Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".

[Torna al Sommario]

Reimpostare il browser web Firefox:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.

Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".

Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.

[Torna al Sommario]

Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.

Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avviare il dispositivo Android in "modalità provvisoria":

La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.

[Torna al Sommario]

Controllare l'utilizzo della batteria delle varie applicazioni:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.

Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controllare l'utilizzo dei dati delle varie applicazioni:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.

Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.

Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installare gli ultimi aggiornamenti del software:

Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.

Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.

[Torna al Sommario]

Ripristinare lo stato di default del sistema:

L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.

È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.

Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattivate le applicazioni che hanno privilegi di amministratore:

Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.

Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".

Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo Android è stato infettato dal malware PhantomCard, devo formattare il mio dispositivo di archiviazione per eliminarlo?

La rimozione del malware raramente richiede la formattazione.

Quali sono i problemi più gravi che il malware PhantomCard può causare?

Le minacce poste da un'infezione dipendono dalle capacità del malware e dagli obiettivi degli aggressori. PhantomCard trasmette i dati NFC delle vittime, consentendo così agli aggressori di utilizzare le loro carte di credito/debito presso bancomat e terminali di pagamento. Pertanto, questo trojan può causare gravi problemi di privacy e perdite finanziarie.

Qual è lo scopo del malware PhantomCard?

Nella maggior parte dei casi il malware viene utilizzato per generare entrate, e PhantomCard non fa eccezione. Tuttavia, il software dannoso può anche essere utilizzato per il divertimento dei criminali informatici o per la realizzazione di rancori personali, l'interruzione di processi (ad esempio, siti web, servizi, aziende, ecc.), l'hacktivismo e attacchi motivati da ragioni politiche/geopolitiche.

Come ha fatto il malware PhantomCard a infiltrarsi nel mio dispositivo Android?

PhantomCard è stato diffuso sotto le spoglie dell'applicazione “Proteção Cartões” tramite pagine false del Google Play Store. Non sono da escludere altri metodi di distribuzione.

Il malware si diffonde principalmente attraverso download drive-by, malvertising, posta spam, truffe online, canali di download sospetti (ad esempio, siti freeware e di terze parti, reti di condivisione P2P, app store di terze parti, ecc.), strumenti di attivazione software illegali (“crack”) e aggiornamenti falsi. Alcuni programmi dannosi possono persino diffondersi autonomamente tramite reti locali e dispositivi di archiviazione rimovibili.

Combo Cleaner mi proteggerà dal malware?

Combo Cleaner è in grado di rilevare e rimuovere praticamente tutte le infezioni da malware conosciute. Tieni presente che è essenziale eseguire una scansione completa del sistema, poiché i programmi dannosi sofisticati in genere si nascondono in profondità nei sistemi.