Hoe verwijdert u de PhantomCard/NFCShare banking-trojan van Android
Ook bekend als: PhantomCard/NFCShare banking-malware
Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat is PhantomCard/NFCShare?
PhantomCard en NFCShare zijn twee door onderzoekers gegeven namen voor dezelfde Android banking trojan, die NFC-relay-aanvallen gebruikt om contactloze betaalkaartgegevens en pincodes te stelen. ThreatFabric noemde de op Brazilië gerichte versie PhantomCard; D3Lab noemde de op Italië gerichte versie NFCShare. Beide zijn regionale varianten van dezelfde Chinese Malware-as-a-Service-familie die bekend staat als NFU Pay.
Overzicht van PhantomCard/NFCShare malware
PhantomCard/NFCShare is gebouwd rond NFC-relay-aanvallen. Zodra de kwaadaardige app is geïnstalleerd, toont deze een nep kaartverificatiescherm dat het slachtoffer vertelt om hun contactloze betaalkaart tegen de achterkant van hun telefoon te houden. Op de achtergrond worden de kaartgegevens stilletjes vastgelegd via de ingebouwde NFC-lezer van het apparaat.
Het nepscherm bootst een echte beveiligingscontrole van de bank na en begeleidt het slachtoffer door drie stappen: houd de kaart bij de telefoon, wacht tot deze wordt gedetecteerd en voer vervolgens een pincode in. De aanwijzingen lijken sterk op echte bankverificatieprocessen, en veel slachtoffers volgen ze zonder iets te vermoeden.
Zodra de kaartgegevens en pincode zijn vastgelegd, worden ze in realtime via een WebSocket-verbinding naar door aanvallers beheerde servers verzonden. Een crimineel aan de andere kant gebruikt een begeleidende applicatie om de kaart van het slachtoffer op hun eigen apparaat te emuleren.
Met die geëmuleerde kaart kan de aanvaller ongeautoriseerde contactloze betalingen doen bij verkooppuntterminals of contant geld opnemen bij geldautomaten. De fysieke kaart van het slachtoffer verlaat nooit hun handen - toch kan hun geld worden gestolen terwijl de kaart nog in de buurt is.
De malware is verschenen in twee afzonderlijke regionale campagnes. In Brazilië documenteerde ThreatFabric het als PhantomCard, vermomd als een "Card Protection"-app die werd verspreid via nep Google Play Store-pagina's compleet met verzonnen gebruikersrecensies. In Italië documenteerde D3Lab het als NFCShare, verspreid via phishingsites die zich voordoen als Deutsche Bank Italy, die bezoekers instrueren om een APK-bestand te downloaden als een vermeende bank-app-update.
Onder de motorkap delen beide versies dezelfde NFC-relay-codebasis, dezelfde gebruikersinterface voor het slachtoffer (vertaald naar de lokale taal) en vergelijkbare string-obfuscatie. ThreatFabric schrijft het platform toe aan NFU Pay, een Chinees Malware-as-a-Service-aanbod waarmee operators aangepaste regiogerichte versies kunnen bouwen met hun eigen banklokkers.
De malware richt zich op EMV-betaalkaartgegevens, en de NFCShare-versie gebruikt XOR-encryptie via NPStringFog om het serveradres te verbergen voor beveiligingstools. Het bevat ook ingebedde Chineestalige strings die overeenkomen met dezelfde toolkit.
Het moet vermeld worden dat malwareontwikkelaars hun software en methodologieën vaak verbeteren, dus toekomstige versies kunnen nieuwe mogelijkheden toevoegen. Samengevat kan de aanwezigheid van PhantomCard/NFCShare op een apparaat leiden tot ernstige financiële verliezen, serieuze privacyproblemen en identiteitsdiefstal.
| Naam | PhantomCard/NFCShare banking-malware |
| Type Dreiging | Android malware, kwaadaardige applicatie, banking trojan. |
| Detectienamen | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.SpyAgent.MI), ESET-NOD32 (Android/Spy.NGate.BZ Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.GhostNFC.e), Volledige Lijst (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, twijfelachtige applicaties verschijnen, data- en batterijgebruik neemt aanzienlijk toe, browsers leiden om naar twijfelachtige websites, opdringerige advertenties worden weergegeven. |
| Verspreidingsmethoden | Nep Google Play Store-pagina's, phishingwebsites die zich voordoen als legitieme bankinstellingen. |
| Schade | Gestolen betaalkaartgegevens (kaartnummers, vervaldatums, pincodes), ongeautoriseerde contactloze transacties, financiële verliezen, identiteitsdiefstal. |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Voorbeelden van banking trojans
Voorbeelden van andere Android banking trojans zijn Massiv, Sturnus en Klopatra. Net als PhantomCard/NFCShare misbruiken dreigingen van dit type het vertrouwen in vertrouwde bankinterfaces om diefstal uit te voeren zonder dat het slachtoffer beseft dat er iets mis is.
Ongeacht de variant is het eindresultaat hetzelfde: gestolen betalingsgegevens, ongeautoriseerde transacties en leeggeplunderde rekeningen. Alert blijven op onofficiële app-downloadverzoeken is een van de meest effectieve verdedigingen.
Hoe heeft PhantomCard/NFCShare mijn apparaat geïnfiltreerd?
PhantomCard/NFCShare bereikt slachtoffers via campagnes die op specifieke landen zijn afgestemd. In Brazilië verspreidt het zich via nep Google Play Store-pagina's die zich voordoen als een legitieme app, compleet met verzonnen gebruikersrecensies. Slachtoffers die de APK van die pagina's downloaden en installeren, verlenen de trojan onbewust toegang tot de NFC-hardware van hun apparaat.
In Italië wordt dezelfde malware verspreid via phishingsites die Deutsche Bank Italy nabootsen. Deze sites zetten bezoekers onder druk om een APK-bestand te downloaden dat wordt beschreven als een vereiste bank-app-update, waarbij phishing-tactieken worden gebruikt om een onofficiële installatie buiten de app store te bewerkstelligen.
Banking trojans van dit type verspreiden zich ook via links in sms-berichten, berichten op sociale media en app stores van derden. Elke app die via een browserlink moet worden gedownload in plaats van via de officiële Google Play Store moet met groot wantrouwen worden behandeld.
Hoe voorkomt u de installatie van malware?
Download apps alleen vanuit de officiële Google Play Store of rechtstreeks van de geverifieerde website van uw bank. Legitieme banken vragen klanten niet om app-updates te installeren door een APK-bestand te downloaden via een link in een sms of op een onofficiële webpagina.
Houd Android en alle geïnstalleerde apps up-to-date en gebruik een betrouwbare mobiele beveiligingstool. Als een app u vraagt om uw betaalkaart tegen uw telefoon te houden of uw pincode in te voeren buiten de officiële app van uw bank, stop dan onmiddellijk en neem contact op met uw bank via het officiële telefoonnummer om het verzoek te melden.
PhantomCard nep NFC-kaartverificatie-overlay (Portugeestalige variant, gericht op Brazilië):
NFCShare nep NFC-kaartverificatie-overlay (Italiaanstalige variant, gericht op Italië):
Snelmenu:
- Inleiding
- Hoe verwijdert u de browsegeschiedenis uit de Chrome-webbrowser?
- Hoe schakelt u browsermeldingen uit in de Chrome-webbrowser?
- Hoe reset u de Chrome-webbrowser?
- Hoe verwijdert u de browsegeschiedenis uit de Firefox-webbrowser?
- Hoe schakelt u browsermeldingen uit in de Firefox-webbrowser?
- Hoe reset u de Firefox-webbrowser?
- Hoe verwijdert u potentieel ongewenste en/of kwaadaardige applicaties?
- Hoe start u het Android-apparaat op in "Veilige modus"?
- Hoe controleert u het batterijverbruik van verschillende applicaties?
- Hoe controleert u het dataverbruik van verschillende applicaties?
- Hoe installeert u de nieuwste software-updates?
- Hoe reset u het systeem naar de standaardstatus?
- Hoe schakelt u applicaties met beheerdersrechten uit?
Browsegeschiedenis verwijderen uit de Chrome-webbrowser:
Tik op de "Menu"-knop (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt verwijderen en tik op "Gegevens wissen".
Browsermeldingen uitschakelen in de Chrome-webbrowser:
Tik op de "Menu"-knop (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat u de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden totdat u de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen leveren, tik erop en klik op "Wissen en resetten". Dit verwijdert de toestemmingen die aan deze websites zijn verleend om meldingen te leveren. Wanneer u echter dezelfde site opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemmingen al dan niet verleent (als u ervoor kiest te weigeren, gaat de website naar het gedeelte "Geblokkeerd" en wordt u niet meer om toestemming gevraagd).
De Chrome-webbrowser resetten:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "OPSLAG BEHEREN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de "Menu"-knop (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat u "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die u wilt verwijderen en tik op "GEGEVENS WISSEN".
Browsermeldingen uitschakelen in de Firefox-webbrowser:
Bezoek de website die browsermeldingen levert, tik op het pictogram links van de URL-balk (het pictogram is niet noodzakelijkerwijs een "Slot") en selecteer "Site-instellingen bewerken".
Schakel in het geopende pop-upvenster de optie "Meldingen" in en tik op "WISSEN".
De Firefox-webbrowser resetten:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u de applicatie "Firefox" vindt, selecteer deze en tik op de optie "Opslag".
Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat het resetten van de browser alle opgeslagen gegevens verwijdert. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.
Potentieel ongewenste en/of kwaadaardige applicaties verwijderen:
Ga naar "Instellingen", scroll naar beneden totdat u "Apps" ziet en tik erop.
Scroll naar beneden totdat u een potentieel ongewenste en/of kwaadaardige applicatie ziet, selecteer deze en tik op "Verwijderen". Als u om een of andere reden de geselecteerde app niet kunt verwijderen (u krijgt bijvoorbeeld een foutmelding), probeer dan de "Veilige modus" te gebruiken.
Het Android-apparaat opstarten in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle applicaties van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijv. kwaadaardige applicaties verwijderen die gebruikers ervan weerhouden dit te doen wanneer het apparaat "normaal" draait).
Druk op de "Aan/uit"-knop en houd deze ingedrukt totdat u het scherm "Uitschakelen" ziet. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Veilige modus" en kunt u deze activeren door het apparaat opnieuw op te starten.
Het batterijverbruik van verschillende applicaties controleren:
Ga naar "Instellingen", scroll naar beneden totdat u "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te verbruiken om de beste gebruikerservaring te bieden en energie te besparen. Daarom kan een hoog batterijverbruik erop wijzen dat de applicatie kwaadaardig is.
Het dataverbruik van verschillende applicaties controleren:
Ga naar "Instellingen", scroll naar beneden totdat u "Verbindingen" ziet en tik erop.
Scroll naar beneden totdat u "Datagebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/echte applicaties ontworpen om het dataverbruik zoveel mogelijk te minimaliseren. Dit betekent dat een enorm dataverbruik kan wijzen op de aanwezigheid van een kwaadaardige applicatie. Houd er rekening mee dat sommige kwaadaardige applicaties zijn ontworpen om alleen te werken wanneer het apparaat is verbonden met een draadloos netwerk. Daarom moet u zowel het mobiele als het Wi-Fi-dataverbruik controleren.
Als u een applicatie vindt die veel data verbruikt, ook al gebruikt u deze nooit, dan raden wij u sterk aan deze zo snel mogelijk te verwijderen.
De nieuwste software-updates installeren:
De software up-to-date houden is een goede gewoonte als het gaat om apparaatveiligheid. De apparaatfabrikanten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden totdat u "Software-update" ziet en tik erop.
Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze onmiddellijk. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen - dit stelt het systeem in staat u te waarschuwen zodra een update wordt uitgebracht en/of deze automatisch te installeren.
Het systeem resetten naar de standaardstatus:
Het uitvoeren van een "Fabrieksinstellingen herstellen" is een goede manier om alle ongewenste applicaties te verwijderen, de systeeminstellingen naar de standaardwaarden te herstellen en het apparaat in het algemeen op te schonen. U moet er echter rekening mee houden dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt hersteld naar de oorspronkelijke staat.
U kunt ook de basissysteeminstellingen en/of eenvoudigweg de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden totdat u "Over de telefoon" ziet en tik erop.
Scroll naar beneden totdat u "Resetten" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen resetten" - herstel alle systeeminstellingen naar de standaardwaarden;
"Netwerkinstellingen resetten" - herstel alle netwerkgerelateerde instellingen naar de standaardwaarden;
"Fabrieksgegevens resetten" - reset het volledige systeem en verwijder alle opgeslagen gegevens volledig;
Applicaties met beheerdersrechten uitschakelen:
Als een kwaadaardige applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die deze niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat u "Vergrendelscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat u "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".
Identificeer applicaties die geen beheerdersrechten zouden moeten hebben, tik erop en tik vervolgens op "DEACTIVEREN".
Veelgestelde vragen (FAQ)
Mijn Android-apparaat is geïnfecteerd met PhantomCard/NFCShare. Moet ik mijn opslagapparaat formatteren om het te verwijderen?
Het formatteren van uw opslagapparaat is doorgaans niet nodig om PhantomCard/NFCShare te verwijderen. Het uitvoeren van een betrouwbare mobiele antivirusapplicatie zoals Combo Cleaner zou voldoende moeten zijn om de malware te detecteren en te verwijderen zonder uw apparaat te wissen.
Wat zijn de grootste problemen die PhantomCard/NFCShare kan veroorzaken?
Het meest directe risico is financiële diefstal. De malware legt contactloze betaalkaartgegevens en pincodes in realtime vast, waardoor aanvallers aankopen kunnen doen of geld kunnen opnemen bij geldautomaten met een geëmuleerde kopie van de kaart van het slachtoffer. Slachtoffers realiseren zich vaak pas dat er iets mis is wanneer ongeautoriseerde afschrijvingen op hun bankafschrift verschijnen.
Kan PhantomCard/NFCShare geld van mijn contactloze betaalkaart stelen zonder dat ik het merk?
Ja. De malware misleidt slachtoffers om hun betaalkaart tegen de telefoon te houden en een pincode in te voeren via een nep verificatiescherm. De vastgelegde gegevens worden onmiddellijk doorgestuurd naar aanvallers, die de kaart op hun eigen apparaat emuleren en gebruiken voor contactloze betalingen of geldopnames bij geldautomaten - allemaal zonder de kaart ooit fysiek in bezit te hebben.
Hoe heeft PhantomCard/NFCShare mijn Android-apparaat geïnfiltreerd?
PhantomCard/NFCShare wordt verspreid via op regio's afgestemde campagnes: nep Google Play Store-pagina's in Brazilië en phishingsites die zich voordoen als Deutsche Bank in Italië. Beide versies vertrouwen op social engineering om gebruikers te overtuigen een onofficieel APK-bestand te installeren buiten de officiële app store om.
Beschermt Combo Cleaner mij tegen malware?
Combo Cleaner kan vrijwel alle bekende malware-infecties detecteren en verwijderen. Vergeet niet dat het uitvoeren van een volledige systeemscan essentieel is, aangezien geavanceerde kwaadaardige programma's zich doorgaans diep in het systeem verbergen.
Delen:
Facebook
X.com
LinkedIn
Link kopiëren
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren
▼ Toon discussie