Ghost Tap: νέα επίθεση NFC αδειάζει λογαριασμούς

Μια νέα, έμπειρη εκστρατεία κακόβουλου λογισμικού κατά Android συσκευών, που έχει βαπτιστεί «Ghost Tap», δείχνει πόσο εύκολα μπορούν να εκμεταλλευτούν οι επιτιθέμενοι το απλό, καθημερινό χαρακτηριστικό της πληρωμής με ένα άγγιγμα. Ερευνητές της Group-IB εντόπισαν ένα ολόκληρο οικοσύστημα κυκλωμάτων γύρω από εφαρμογές που ενεργοποιούν απομακρυσμένες tap-to-pay συναλλαγές, με αποδεδειγμένα τουλάχιστον $355.000 σε απάτες από μία μόνο επιχείρηση. Το ζήτημα δεν είναι απλώς τεχνικό· αφορά την εμπιστοσύνη στο ψηφιακό χρήμα, την ασφάλεια των κινητών και τις νέες μορφές οργανωμένου οικονομικού εγκλήματος.

Τι ακριβώς κάνει η επίθεση

Η βασική ιδέα πίσω από το Ghost Tap είναι απλή αλλά ισχυρή: αντί να κλέψουν φυσικά την κάρτα ή να αντιγράψουν δεδομένα με παραδοσιακές μεθόδους, οι επιτιθέμενοι χρησιμοποιούν την τεχνολογία NFC για να «συλλάβουν» την επικοινωνία μεταξύ κάρτας και κινητού και να την προωθήσουν σε απομακρυσμένο σημείο όπου γίνεται η ληστεία. Στην πράξη, η επιχείρηση λειτουργεί ως relay —ένα είδος ψηφιακού προέδρου— που μεταβιβάζει τα δεδομένα της πληρωμής από το θύμα στον δράστη.

Η υλοποίηση περιλαμβάνει δύο εξειδικευμένες εφαρμογές: έναν «reader» που εγκαθίσταται στη συσκευή του θύματος και έναν «tapper» στην συσκευή του επιτιθέμενου. Μετά από smishing ή vishing επιθέσεις, οι χρήστες πείθονται να εγκαταστήσουν APK αρχεία εκτός του επίσημου Play Store και να χρησιμοποιήσουν το κινητό τους για να «αγγίξουν» την κάρτα τους, πιστεύοντας ότι ενεργοποιούν κάποιο καλόφορτο εργαλείο πληρωμών ή τραπεζική εφαρμογή. Με το άγγιγμα, τα δεδομένα της ανέπαφης κάρτας διαβάζονται τοπικά και —μέσω WebSocket ή άλλων C2 πρωτοκόλλων— αναμεταδίδονται σε τερματικό που ελέγχεται από τον εγκληματία.

Η τεχνική ροή πίσω από το relay

Σε τεχνικό επίπεδο, το κακόβουλο λογισμικό ζητάει κρίσιμες άδειες: πρόσβαση στο NFC hardware, σύνδεση Internet και δικαίωμα λειτουργίας ως foreground service ώστε να παραμένει ενεργό στο παρασκήνιο. Μόλις εντοπιστεί μία κάρτα συμβατή με ISO 14443, η εφαρμογή στέλνει την εντολή «2PAY.SYS.DDF01» για να αρχίσει το διάλογο με το Proximity Payment System Environment (PPSE). Αποθηκεύει τα διαθέσιμα AID (Application Identifiers) και προωθεί όσα δεδομένα προκύψουν μέσω WebSocket προς τα C2 servers των επιτιθέμενων.

Κάποια από τα δείγματα δείχνουν πως οι δράστες αξιοποίησαν και open source εργαλεία όπως το NFCProxy, προσαρμόζοντας νόμιμο λογισμικό για παράνομη χρήση. Άλλα δείγματα είναι πακεταρισμένα και obfuscated με τον κινεζικό packer 360 Jiagu, μια πρακτική που δυσκολεύει την ανάλυση και επιτρέπει στους δημιουργούς τους να αποφύγουν τον εντοπισμό.

Πώς τελικά βγάζουν τα λεφτά

Η μεταφορά των δεδομένων είναι το πρώτο βήμα. Το πιο κρίσιμο όμως είναι το cash-out: οι εγκληματίες είτε χρησιμοποιούν παράνομα αποκτηθέντα POS terminals, είτε φορτώνουν mobile wallets με τα κλεμμένα στοιχεία της κάρτας και αξιοποιούν δίκτυα «mules» —δηλαδή ανθρώπους που πραγματοποιούν αγορές και αποστέλλουν ή πωλούν τα προϊόντα— για να πλασάρουν τις αγορές στο φυσικό εμπόριο. Έχουν εντοπιστεί κανάλια στο Telegram που εμπορεύονται τέτοια POS, ενώ σε περιπτώσεις όπου οι εφαρμογές τροποποιούνται, αφαιρούνται ακόμη και μηχανισμοί login για να επιταχυνθεί η εκμετάλλευση και να μειωθούν τα εμπόδια στο cash-out.

Στην πιο απλή εκδοχή, ο επιτιθέμενος απλώς «παρουσιάζει» στο POS τα δεδομένα που έφτασαν από το θύμα, και ο τερματικός το δέχεται ως νόμιμη συναλλαγή παρουσία κάρτας. Από τον Νοέμβριο του 2024 ένα μόνο τέτοιο κανάλι έχει επεξεργαστεί περίπου $355.000 σε παράνομες πληρωμές.

Ο ρόλος των αγορών και των υπηρεσιών malware-as-a-service

Η ανάλυση της Group-IB εντόπισε πάνω από 54 APK δείγματα, ενώ η δομή του οικοσυστήματος θυμίζει εμπορική αγορά: τρεις βασικοί «πωλητές» κυριαρχούν στον χώρο — TX-NFC, X-NFC και NFU Pay. Το TX-NFC ξεκίνησε δραστηριότητα στις αρχές του 2025 και συγκέντρωσε μέσα σε λίγους μήνες πάνω από 21.000 συνδρομητές σε ένα Telegram κανάλι, προσφέροντας υποστήριξη στα Αγγλικά και διάφορες συνδρομητικές τιμές από $45 για μια μέρα έως $1.050 για τρίμηνη πρόσβαση.

Αυτά τα προϊόντα όχι μόνο πουλιούνται ως εργαλεία, αλλά προσφέρουν υπηρεσίες, εγκατάσταση custom builds ανά χώρα (π.χ. Βραζιλία, Ιταλία) και ακόμη redistribution μέσω «συνεργατών». Το αποτέλεσμα είναι ότι η απειλή κλιμακώνεται γρήγορα και διαχέεται γεωγραφικά, αφού τα εργαλεία προσφέρονται με φιλικές προς τον χρήστη διεπαφές και τεχνική υποστήριξη για το οργανωμένο έγκλημα.

Παγκόσμιες αντιδράσεις και συλλήψεις

Η απάντηση των αρχών ήταν παγκόσμια: από συλλήψεις στην Σιγκαπούρη τον Νοέμβριο του 2024 έως την αρχική σύλληψη 11 Κινέζων στο Knoxville των ΗΠΑ τον Μάρτιο του 2025, οι διωκτικές αρχές έχουν εντοπίσει κυκλώματα που χρησιμοποιούσαν αυτές τις εφαρμογές για να αγοράσουν δώρα και να εξαργυρώσουν αξίες δεκάδων χιλιάδων δολαρίων. Επίσης, η Visa συμπεριέλαβε το φαινόμενο στην Biannual Threats Report της Άνοιξης 2025, αναδεικνύοντας ότι το relay fraud με εφαρμογές NFC παραμένει ενεργό ρίσκο για το payment ecosystem.

Τράπεζες, πάροχοι καρτών και ρυθμιστικές αρχές έχουν αρχίσει να εκδίδουν advisories, ενώ εταιρείες όπως η Credit China ανέφεραν περιπτώσεις όπου θύματα έχασαν πάνω από $13.000. Η πίεση προς τους εμπλεκόμενους παρόχους POS, τους κατασκευαστές τερματικών και τις πλατφόρμες εφαρμογών αυξάνει, καθώς οι chargebacks και οι απανωτές απάτες γίνονται οικονομικό και reputational πρόβλημα.

Τεχνικές αδυναμίες και γιατί δουλεύει

Γιατί αυτές οι επιθέσεις δουλεύουν; Κεντρικοί παράγοντες είναι η ευκολία εγκατάστασης APK εκτός Play Store, η ανοχή των χρηστών σε SMS/κλήσεις που φαινομενικά προέρχονται από τράπεζες, και η σχεδιαστική ευπάθεια κάποιων συστημάτων πληρωμών που επιτρέπουν «απομακρυσμένο παρουσίασμα» δεδομένων. Επιπλέον, οι σύγχρονες κάρτες και mobile wallets προσφέρουν υψηλό επίπεδο συμβατότητας με ISO 14443, γεγονός που διευκολύνει την εξαγωγή AID και άλλων κρίσιμων στοιχείων χωρίς περιττά βήματα.

Οι μηχανισμοί προστασίας όπως tokenization και CVM (cardholder verification method) μειώνουν τον κίνδυνο, αλλά δεν τον εξαλείφουν. Για παράδειγμα, αν ένα POS δεν απαιτεί συμπληρωματική επαλήθευση ή αν οι ηθικοί έμποροι/τερματικά είναι παραβιασμένα, το tokenization μπορεί να γίνει άσκοπο. Επιπλέον, όταν οι επιτιθέμενοι έχουν στη διάθεσή τους ένα δίκτυο mules και διαχειρίζονται τα POS, η διαδικασία cash-out γίνεται πραγματικά κερδοφόρα.

Τι μπορούν να κάνουν οι χρήστες και οι τράπεζες

Σε ατομικό επίπεδο, οι απλές πρακτικές μειώνουν δραστικά τον κίνδυνο: αποφεύγετε το sideloading εφαρμογών, μην απαντάτε ή μην ανοίγετε συνδέσμους από άγνωστα SMS/κλήσεις που ζητούν εγκατάσταση εφαρμογής, απενεργοποιήστε το NFC όταν δεν το χρησιμοποιείτε και ενεργοποιήστε ειδοποιήσεις συναλλαγών στη στιγμή. Επιπλέον, ο συνεχής έλεγχος κινήσεων και η άμεση αναφορά ύποπτων χρεώσεων στην τράπεζα βοηθούν στην ταχεία αναστολή ζημιών.

Οι τράπεζες και οι πάροχοι πληρωμών πρέπει να αυξήσουν την επιτήρηση για αντισυμβατικές συμπεριφορές POS, να ενισχύσουν την επαλήθευση device-bound tokens, να προωθήσουν μεγαλύτερη χρήση biometric ή επιπρόσθετων CVM και να συνεργαστούν με φορείς όπως οι πάροχοι τερματικών ώστε να περιοριστεί η παράνομη διάθεση POS. Επίσης, η ενημέρωση και η επιβολή κανόνων για marketplaces όπως το Telegram, όπου πωλούνται τέτοια εργαλεία, είναι κρίσιμη για τη μείωση της προσβασιμότητας των επιτιθέμενων.

Γιατί έχει σημασία

Η υπόθεση Ghost Tap ανοίγει μια μεγάλη συζήτηση για το πώς οι συσκευές που κουβαλάμε καθημερινά γίνονται ο στόχος αλλά και το όχημα εγκλήματος. Δεν μιλάμε απλώς για τεχνικά λάθη· μιλάμε για οργανωμένες αγορές malware-as-a-service, για διεθνή δίκτυα cash-out και για μια ροή παρασκευασμένη ώστε να αντέχει στην πίεση των αρχών. Αν οι επιθέσεις αυτές συνεχίσουν, το οικοσύστημα πληρωμών θα χρειαστεί να μετακινήσει βάρος από την ευκολία στη λήψη πρόσθετων επιβεβαιώσεων, κάτι που θα επηρεάσει εμπόρους, καταναλωτές και τράπεζες.

Σε ευρωπαϊκό και παγκόσμιο επίπεδο, η πρόκληση είναι διπλή: τεχνική —βελτίωση τερματικών, tokenization και detection— και κοινωνική —ενημέρωση των χρηστών, καλύτερος έλεγχος αγορών παράνομου εξοπλισμού και νομική δίωξη. Οι τεχνολογίες όπως το NFC έχουν φέρει τεράστιο πλεονέκτημα στην καθημερινότητα, αλλά χωρίς σωστή ασφάλεια και επιβολή κανόνων, γίνονται όχημα εκμετάλλευσης.

Η μάχη ενάντια στο Ghost Tap θα κριθεί από το πόσο γρήγορα συνεργαστούν τράπεζες, πάροχοι τερματικών, αρχές και τελικοί χρήστες για να κλείσουν τα κενά που εκμεταλλεύονται οι επιτιθέμενοι. Όποιος νομίζει ότι η ασφάλεια είναι μόνο τεχνική υπόθεση, θα πρέπει να αναθεωρήσει: χρειάζεται συντονισμένη πολιτική, τεχνολογική βελτίωση και κυρίως ενημέρωση των ανθρώπων που κρατούν τις κάρτες και τα κινητά στο χέρι.