Κινέζοι φορείς απειλών έχουν αναπτύξει έναν επικίνδυνο νέο τρόπο για να κλέβουν χρήματα απευθείας από τραπεζικούς λογαριασμούς χρησιμοποιώντας ειδικά κατασκευασμένες εφαρμογές Android.
Γνωστές ως Ghost Tapped, αυτές οι κακόβουλες εφαρμογές εκμεταλλεύονται την τεχνολογία Near Field Communication (NFC), την ίδια ασύρματη τεχνολογία που τροφοδοτεί τις ανέπαφες πληρωμές.
Αντί να χρειάζονται τη φυσική τραπεζική σας κάρτα, οι εγκληματίες μπορούν να ολοκληρώσουν συναλλαγές από οπουδήποτε στον κόσμο μεταδίδοντας απλώς πληροφορίες πληρωμής μέσω των δικών τους συσκευών.
Η επίθεση λειτουργεί με έναν εκπληκτικά απλό αλλά αποτελεσματικό τρόπο. Τα θύματα στοχοποιούνται μέσω παραπλανητικών μηνυμάτων και τηλεφωνικών κλήσεων, εξαπατούνται για να κατεβάσουν κακόβουλα αρχεία APK που μοιάζουν με νόμιμες εφαρμογές τραπεζικών συναλλαγών ή πληρωμών.
Μόλις εγκατασταθούν, οι χρήστες καλούνται να χτυπήσουν τις τραπεζικές τους κάρτες στα τηλέφωνά τους, πιστεύοντας ότι καταχωρούν την κάρτα για λόγους ασφαλείας.
Άγνωστο σε αυτούς, η εφαρμογή καταγράφει δεδομένα κάρτας και τα στέλνει σε έναν διακομιστή εντολών και ελέγχου που λειτουργεί από τους εγκληματίες.
Από τον Αύγουστο του 2024 έως τον Αύγουστο του 2025, ειδικοί σε θέματα ασφάλειας εντόπισαν περισσότερες από 54 διαφορετικές εκδόσεις αυτών των κακόβουλων εφαρμογών, με περισσότερες από μισή ντουζίνα σημαντικές παραλλαγές να πωλούνται και να προωθούνται ενεργά στο Telegram.
Αναλυτές του Group-IB αναγνωρισθείς ότι το κακόβουλο λογισμικό λειτουργεί μέσω ενός συστήματος δύο μερών: μια εφαρμογή «αναγνώστη» εγκατεστημένη στη συσκευή του θύματος που καταγράφει πληροφορίες κάρτας πληρωμής και μια εφαρμογή «tapper» που χρησιμοποιείται από εγκληματίες για την ολοκλήρωση μη εξουσιοδοτημένων συναλλαγών σε καταστήματα και ΑΤΜ.
Ο μηχανισμός μόλυνσης και η επίθεση ρελέ
Οι ερευνητές του Group-IB σημείωσαν ότι το κακόβουλο λογισμικό λειτουργεί με τη δημιουργία μιας άμεσης αναμετάδοσης μεταξύ της κάρτας πληρωμής του θύματος και της συσκευής ενός εγκληματία μέσω διακομιστών που είναι συνδεδεμένοι στο διαδίκτυο.
.webp.jpeg "Το νέο Ghost Tapped Attack χρησιμοποιεί τη συσκευή σας Android για να εξαντλήσει τον τραπεζικό σας λογαριασμό")
Όταν μια κάρτα αγγίζεται σε ένα μολυσμένο τηλέφωνο Android που εκτελεί την εφαρμογή ανάγνωσης, τα δεδομένα πληρωμής καταγράφονται και κρυπτογραφούνται.
Αυτά τα δεδομένα ταξιδεύουν μέσω του διακομιστή C2 και φτάνουν στην εφαρμογή tapper του εγκληματία, η οποία στη συνέχεια τα προωθεί σε πραγματικά τερματικά σημείων πώλησης που έχουν κλαπεί ή αποκτηθεί με δόλια από νόμιμους επεξεργαστές πληρωμών.
Στο τερματικό POS, η συναλλαγή φαίνεται απολύτως νόμιμη, σαν η ίδια η συσκευή του εγκληματία να ήταν μια πραγματική τραπεζική κάρτα.
Η τεχνική υλοποίηση αποκαλύπτει εξελιγμένη μηχανική. Οι εφαρμογές ζητούν συγκεκριμένα δικαιώματα NFC, συμπεριλαμβανομένων android.permission.NFC και android.permission.INTERNET να λειτουργήσει.
Κατά την εγκατάσταση, συλλέγουν αναγνωριστικά συσκευών και διαπιστευτήρια ελέγχου ταυτότητας, στέλνοντας αυτές τις πληροφορίες σε απομακρυσμένους διακομιστές χρησιμοποιώντας πρωτόκολλα WebSocket ή MQTT.
Μεταξύ Νοεμβρίου 2024 και Αυγούστου 2025, μια συνδεδεμένη ομάδα επεξεργάστηκε τουλάχιστον 355.000 $ σε δόλιες συναλλαγές χρησιμοποιώντας αυτήν τη μέθοδο.
Χιλιάδες θύματα παγκοσμίως έχουν ήδη πέσει θύματα αυτών των σχεδίων, με συλλήψεις να πραγματοποιούνται σε πολλές χώρες, όπως οι Ηνωμένες Πολιτείες, η Σιγκαπούρη, η Τσεχική Δημοκρατία και η Μαλαισία, καταδεικνύοντας τον αυξανόμενο αντίκτυπο της επίθεσης στον πραγματικό κόσμο.