Come rimuovere il trojan bancario PhantomCard/NFCShare da Android
Conosciuto anche come: Malware bancario PhantomCard/NFCShare
Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Cos'è PhantomCard/NFCShare?
PhantomCard e NFCShare sono due nomi assegnati dai ricercatori allo stesso trojan bancario per Android, che utilizza attacchi relay NFC per rubare i dati delle carte di pagamento contactless e i PIN. ThreatFabric ha denominato PhantomCard la variante destinata al Brasile; D3Lab ha denominato NFCShare la variante destinata all'Italia. Entrambe sono varianti regionali della stessa famiglia cinese di Malware-as-a-Service nota come NFU Pay.
Panoramica del malware PhantomCard/NFCShare
PhantomCard/NFCShare è costruito attorno ad attacchi di relay NFC. Una volta installata, l'app dannosa presenta una falsa schermata di verifica della carta che chiede alla vittima di avvicinare la propria carta di pagamento contactless al retro del telefono. Dietro le quinte, cattura silenziosamente i dati della carta attraverso il lettore NFC integrato nel dispositivo.
La schermata falsa imita un autentico controllo di sicurezza bancario, guidando la vittima attraverso tre passaggi: avvicinare la carta al telefono, attendere che venga rilevata, quindi inserire un PIN. Le istruzioni assomigliano molto ai veri flussi di verifica bancaria, e molte vittime le seguono senza sospettare nulla.
Una volta catturati i dati della carta e il PIN, vengono inviati in tempo reale tramite una connessione WebSocket a server controllati dagli aggressori. Un criminale dall'altra parte utilizza un'applicazione complementare per emulare la carta della vittima sul proprio dispositivo.
Con quella carta emulata, l'aggressore può effettuare pagamenti contactless non autorizzati presso terminali point-of-sale o prelevare contanti dagli sportelli ATM. La carta fisica della vittima non lascia mai le sue mani - eppure il denaro può essere rubato mentre la carta è ancora nelle vicinanze.
Il malware è apparso in due distinte campagne regionali. In Brasile, ThreatFabric lo ha documentato come PhantomCard, che si spaccia per un'app di «Protezione Carta» distribuita attraverso false pagine del Google Play Store complete di recensioni utente fabbricate. In Italia, D3Lab lo ha documentato come NFCShare, diffuso attraverso siti di phishing che imitano Deutsche Bank Italia, i quali istruiscono i visitatori a scaricare un file APK come presunto aggiornamento dell'app bancaria.
Sotto il cofano, entrambe le build condividono la stessa base di codice per il relay NFC, la stessa interfaccia utente rivolta alle vittime (tradotta nella lingua locale) e un'offuscamento delle stringhe simile. ThreatFabric attribuisce la piattaforma a NFU Pay, un'offerta cinese di Malware-as-a-Service che consente agli operatori di creare versioni personalizzate e mirate per regione con le proprie esche bancarie.
Il malware prende di mira i dati delle carte di pagamento EMV, e la build NFCShare utilizza la crittografia XOR tramite NPStringFog per nascondere l'indirizzo del server agli strumenti di sicurezza. Contiene inoltre stringhe incorporate in lingua cinese coerenti con lo stesso toolkit.
Va menzionato che gli sviluppatori di malware spesso migliorano il proprio software e le proprie metodologie, quindi le versioni future potrebbero aggiungere nuove funzionalità. In sintesi, la presenza di PhantomCard/NFCShare su un dispositivo può portare a gravi perdite finanziarie, seri problemi di privacy e furto di identità.
| Nome | Malware bancario PhantomCard/NFCShare |
| Tipo Di Minaccia | Malware Android, applicazione dannosa, trojan bancario. |
| Nomi Di Rilevamento | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.SpyAgent.MI), ESET-NOD32 (Android/Spy.NGate.BZ Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.GhostNFC.e), Lista Completa (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza il permesso dell'utente, compaiono applicazioni discutibili, il consumo di dati e batteria aumenta significativamente, i browser reindirizzano a siti web discutibili, vengono mostrate pubblicità invasive. |
| Metodi Di Distribuzione | False pagine del Google Play Store, siti web di phishing che imitano istituti bancari legittimi. |
| Danni | Dati delle carte di pagamento rubati (numeri di carta, date di scadenza, PIN), transazioni contactless non autorizzate, perdite monetarie, furto di identità. |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Esempi di trojan bancari
Esempi di altri trojan bancari Android includono Massiv, Sturnus e Klopatra. Come PhantomCard/NFCShare, minacce di questo tipo sfruttano la fiducia nelle familiari interfacce bancarie per compiere furti senza che la vittima si renda conto che qualcosa non va.
Indipendentemente dalla variante, il risultato finale è lo stesso: credenziali di pagamento rubate, transazioni non autorizzate e conti svuotati. Restare attenti alle richieste di download di app non ufficiali è una delle difese più efficaci.
Come ha fatto PhantomCard/NFCShare a infiltrarsi nel mio dispositivo?
PhantomCard/NFCShare raggiunge le vittime attraverso campagne personalizzate per paesi specifici. In Brasile, si diffonde attraverso false pagine del Google Play Store che impersonano un'app legittima, complete di recensioni utente fabbricate. Le vittime che scaricano e installano l'APK da quelle pagine concedono inconsapevolmente al trojan l'accesso all'hardware NFC del loro dispositivo.
In Italia, lo stesso malware viene distribuito attraverso siti di phishing che imitano Deutsche Bank Italia. Questi siti spingono i visitatori a scaricare un file APK descritto come un aggiornamento obbligatorio dell'app bancaria, utilizzando tattiche di phishing per forzare un'installazione non ufficiale al di fuori dell'app store.
I trojan bancari di questo tipo si diffondono anche attraverso link in messaggi SMS, post sui social media e app store di terze parti. Qualsiasi app che deve essere scaricata tramite un link del browser anziché dal Google Play Store ufficiale dovrebbe essere trattata con forte sospetto.
Come evitare l'installazione di malware?
Scaricate le app solo dal Google Play Store ufficiale o direttamente dal sito web verificato della vostra banca. Le banche legittime non chiedono ai clienti di installare aggiornamenti dell'app scaricando un file APK tramite un link in un SMS o su una pagina web non ufficiale.
Mantenete Android e tutte le app installate aggiornate e utilizzate uno strumento di sicurezza mobile affidabile. Se un'app vi chiede di avvicinare la vostra carta di pagamento al telefono o di inserire il PIN al di fuori dell'app ufficiale della vostra banca, fermatevi immediatamente e contattate la vostra banca tramite il numero ufficiale per segnalare la richiesta.
Overlay falso di verifica carta NFC di PhantomCard (variante in lingua portoghese, destinata al Brasile):
Overlay falso di verifica carta NFC di NFCShare (variante in lingua italiana, destinata all'Italia):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser web Chrome?
- Come disabilitare le notifiche del browser nel browser web Chrome?
- Come ripristinare il browser web Chrome?
- Come eliminare la cronologia di navigazione dal browser web Firefox?
- Come disabilitare le notifiche del browser nel browser web Firefox?
- Come ripristinare il browser web Firefox?
- Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in «Modalità provvisoria»?
- Come controllare il consumo della batteria di varie applicazioni?
- Come controllare il consumo dati di varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare il sistema al suo stato predefinito?
- Come disabilitare le applicazioni che hanno privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser web Chrome:
Tocca il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e seleziona «Cronologia» nel menu a discesa aperto.
Tocca «Cancella dati di navigazione», seleziona la scheda «AVANZATE», scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca «Cancella dati».
Disabilitare le notifiche del browser nel browser web Chrome:
Tocca il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e seleziona «Impostazioni» nel menu a discesa aperto.
Scorri verso il basso fino a visualizzare l'opzione «Impostazioni sito» e toccala. Scorri verso il basso fino a visualizzare l'opzione «Notifiche» e toccala.
Trova i siti web che inviano notifiche del browser, toccali e fai clic su «Cancella e reimposta». Questo rimuoverà le autorizzazioni concesse a questi siti web per inviare notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, potrebbe richiedere nuovamente l'autorizzazione. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutare, il sito web andrà nella sezione «Bloccati» e non ti chiederà più l'autorizzazione).
Ripristinare il browser web Chrome:
Vai su «Impostazioni», scorri verso il basso fino a visualizzare «App» e toccalo.
Scorri verso il basso fino a trovare l'applicazione «Chrome», selezionala e tocca l'opzione «Archiviazione».
Tocca «GESTISCI ARCHIVIAZIONE», poi «CANCELLA TUTTI I DATI» e conferma l'azione toccando «OK». Nota che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche effettuare nuovamente l'accesso a tutti i siti web.
Eliminare la cronologia di navigazione dal browser web Firefox:
Tocca il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e seleziona «Cronologia» nel menu a discesa aperto.
Scorri verso il basso fino a visualizzare «Cancella dati privati» e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca «CANCELLA DATI».
Disabilitare le notifiche del browser nel browser web Firefox:
Visita il sito web che invia notifiche del browser, tocca l'icona visualizzata a sinistra della barra URL (l'icona non sarà necessariamente un «Lucchetto») e seleziona «Modifica impostazioni sito».
Nel pop-up aperto, seleziona l'opzione «Notifiche» e tocca «CANCELLA».
Ripristinare il browser web Firefox:
Vai su «Impostazioni», scorri verso il basso fino a visualizzare «App» e toccalo.
Scorri verso il basso fino a trovare l'applicazione «Firefox», selezionala e tocca l'opzione «Archiviazione».
Tocca «CANCELLA DATI» e conferma l'azione toccando «ELIMINA». Nota che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche effettuare nuovamente l'accesso a tutti i siti web.
Disinstallare applicazioni potenzialmente indesiderate e/o dannose:
Vai su «Impostazioni», scorri verso il basso fino a visualizzare «App» e toccalo.
Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca «Disinstalla». Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad es., viene visualizzato un messaggio di errore), dovresti provare a utilizzare la «Modalità provvisoria».
Avviare il dispositivo Android in «Modalità provvisoria»:
La «Modalità provvisoria» nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad es., rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona «normalmente»).
Premi il pulsante «Accensione» e tienilo premuto fino a visualizzare la schermata «Spegni». Tocca l'icona «Spegni» e tienila premuta. Dopo alcuni secondi apparirà l'opzione «Modalità provvisoria» e potrai avviarla riavviando il dispositivo.
Controllare il consumo della batteria di varie applicazioni:
Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Manutenzione dispositivo» e toccalo.
Tocca «Batteria» e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/genuine sono progettate per utilizzare la minor quantità di energia possibile al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato consumo della batteria potrebbe indicare che l'applicazione è dannosa.
Controllare il consumo dati di varie applicazioni:
Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Connessioni» e toccalo.
Scorri verso il basso fino a visualizzare «Utilizzo dati» e seleziona questa opzione. Come per la batteria, le applicazioni legittime/genuine sono progettate per minimizzare il più possibile il consumo dei dati. Ciò significa che un enorme consumo di dati potrebbe indicare la presenza di un'applicazione dannosa. Nota che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, dovresti controllare sia il consumo dati Mobile che quello Wi-Fi.
Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, motivo per cui dovresti sempre assicurarti che il software del tuo dispositivo sia aggiornato.
Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Aggiornamento software» e toccalo.
Tocca «Scarica aggiornamenti manualmente» e verifica se sono disponibili aggiornamenti. In caso affermativo, installali immediatamente. Ti consigliamo inoltre di abilitare l'opzione «Scarica aggiornamenti automaticamente» - questo consentirà al sistema di avvisarti quando viene rilasciato un aggiornamento e/o di installarlo automaticamente.
Ripristinare il sistema al suo stato predefinito:
Eseguire un «Ripristino di fabbrica» è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni di sistema ai valori predefiniti e pulire il dispositivo in generale. Tuttavia, devi tenere presente che tutti i dati all'interno del dispositivo verranno eliminati, inclusi foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.
Puoi anche ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.
Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Info sul telefono» e toccalo.
Scorri verso il basso fino a visualizzare «Ripristina» e toccalo. Ora scegli l'azione che desideri eseguire:
«Ripristina impostazioni» - ripristina tutte le impostazioni di sistema ai valori predefiniti;
«Ripristina impostazioni di rete» - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
«Ripristino dati di fabbrica» - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;
Disabilitare le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene privilegi a livello di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, dovresti sempre controllare quali app hanno tali privilegi e disabilitare quelle che non dovrebbero averli.
Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Schermata di blocco e sicurezza» e toccalo.
Scorri verso il basso fino a visualizzare «Altre impostazioni di sicurezza», toccalo e poi tocca «App di amministrazione dispositivo».
Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca «DISATTIVA».
Domande Frequenti (FAQ)
Il mio dispositivo Android è infetto da PhantomCard/NFCShare, devo formattare il mio dispositivo di archiviazione per liberarmene?
La formattazione del dispositivo di archiviazione in genere non è necessaria per rimuovere PhantomCard/NFCShare. L'esecuzione di un'applicazione antivirus mobile affidabile come Combo Cleaner dovrebbe essere sufficiente per rilevare ed eliminare il malware senza cancellare il dispositivo.
Quali sono i maggiori problemi che PhantomCard/NFCShare può causare?
Il rischio più diretto è il furto finanziario. Il malware cattura i dati delle carte di pagamento contactless e i PIN in tempo reale, consentendo agli aggressori di effettuare acquisti o prelievi ATM utilizzando una copia emulata della carta della vittima. Le vittime spesso non si rendono conto che qualcosa non va fino a quando non compaiono addebiti non autorizzati sull'estratto conto bancario.
PhantomCard/NFCShare può rubare denaro dalla mia carta di pagamento contactless senza che me ne accorga?
Sì. Il malware inganna le vittime inducendole ad avvicinare la carta di pagamento al telefono e a inserire un PIN attraverso una falsa schermata di verifica. I dati catturati vengono trasmessi istantaneamente agli aggressori, che emulano la carta sul proprio dispositivo e la utilizzano per pagamenti contactless o prelievi ATM - il tutto senza mai possedere fisicamente la carta.
Come ha fatto PhantomCard/NFCShare a infiltrarsi nel mio dispositivo Android?
PhantomCard/NFCShare viene distribuito attraverso campagne personalizzate per regione: false pagine del Google Play Store in Brasile e siti di phishing che imitano Deutsche Bank in Italia. Entrambe le versioni si basano sull'ingegneria sociale per convincere gli utenti a installare un file APK non ufficiale al di fuori dell'app store ufficiale.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è in grado di rilevare ed eliminare quasi tutte le infezioni malware conosciute. Ricorda che eseguire una scansione completa del sistema è essenziale, poiché i programmi dannosi sofisticati si nascondono tipicamente in profondità nel sistema.
Condividi:
Facebook
X.com
LinkedIn
Copia link
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione