Firma zajmująca się cyberbezpieczeństwem ESET podała, że nowo wykryte szkodliwe oprogramowanie działające w systemie operacyjnym Android kradnie dane kart płatniczych za pomocą czytnika NFC znajdującego się w zainfekowanym urządzeniu i przekazuje je atakującym. Jest to nowa technologia, która skutecznie klonuje kartę, aby można było z niej skorzystać w bankomatach lub punktach sprzedaży.
Badacze firmy ESET nazwali złośliwe oprogramowanie NGate, ponieważ zawiera… Bramka NFCnarzędzie typu open source do przechwytywania, analizowania i modyfikowania ruchu NFC. Skrót dla Komunikacja bliskiego zasięguNFC to protokół umożliwiający bezprzewodową komunikację dwóch urządzeń na małe odległości.
Nowy scenariusz ataku na Androida
„To nowy scenariusz ataku dla Androida i po raz pierwszy widzimy złośliwe oprogramowanie dla Androida posiadające tę funkcję użyte na wolności” – stwierdził w raporcie Łukasz Stefanko, badacz firmy ESET. wideo „Odkrycie pokazuje, że złośliwe oprogramowanie NGate może przesyłać dane NFC z karty ofiary za pośrednictwem skompromitowanego urządzenia do smartfona atakującego, który następnie może sfałszować kartę i wypłacić pieniądze z bankomatu”.
Szkodnik został zainstalowany za pomocą tradycyjnych scenariuszy phishingu, takich jak wysyłanie przez osobę atakującą wiadomości do celów i nakłanianie ich do zainstalowania NGate z krótkotrwałych domen podszywających się pod banki lub oficjalne aplikacje bankowości mobilnej dostępne w Google Play. NGate podszywa się pod legalną aplikację Target Bank i prosi użytkownika o podanie identyfikatora klienta banku, daty urodzenia i kodu PIN karty. Aplikacja cały czas prosi użytkownika o włączenie NFC i zeskanowanie karty.
ESET podał, że wykrył użycie NGate w trzech czeskich bankach od listopada i zidentyfikował sześć odrębnych aplikacji NGate znajdujących się w obiegu od tego czasu do marca tego roku. Niektóre aplikacje wykorzystane w późniejszych miesiącach kampanii miały formę Progressive Web Apps, w skrócie Progresywne aplikacje internetowektóre jak podano w czwartek, można zainstalować na urządzeniach z systemem Android i iOS nawet wtedy, gdy ustawienia (obowiązkowe na iOS) uniemożliwiają instalację aplikacji dostępnych z nieoficjalnych źródeł.
Firma ESET podała, że najbardziej prawdopodobnym powodem zakończenia kampanii NGate w marcu było… aresztować Czeska policja aresztowała 22-letniego mężczyznę, który według nich został przyłapany w masce podczas wypłacania pieniędzy z bankomatu w Pradze. Śledczy stwierdzili, że podejrzany „stworzył nowy sposób na wyłudzanie pieniędzy od ludzi”, wykorzystując schemat, który wyglądał identycznie jak ten dotyczący NGate.
Stefanko i inny badacz ESET, Jacob Osmani, wyjaśnili, jak zadziałał atak:
Z komunikatu czeskiej policji wynika, że scenariusz ataku rozpoczynał się od wysyłania przez napastników do potencjalnych ofiar wiadomości SMS z informacjami o zeznaniu podatkowym, zawierającymi link do strony phishingowej podszywającej się pod banki. Linki te mogą prowadzić do złośliwych, progresywnych aplikacji internetowych. Gdy ofiara zainstalowała aplikację i wprowadziła swoje dane uwierzytelniające, osoba atakująca uzyskała dostęp do konta ofiary. Następnie napastnik zadzwonił do ofiary, podając się za pracownika banku. Ofiara została poinformowana, że ktoś włamał się na jej konto, prawdopodobnie w wyniku wysłania poprzedniego SMS-a. Napastnik w rzeczywistości mówił prawdę – konto ofiary zostało zhakowane, ale ta prawda doprowadziła do kolejnego kłamstwa.
Aby chronić swoje pieniądze, ofiarę poproszono o zmianę kodu PIN i zweryfikowanie karty bankowej za pomocą aplikacji mobilnej – szkodliwego oprogramowania NGate. Link do pobrania NGate został wysłany SMS-em. Podejrzewamy, że w aplikacji NGate ofiary wprowadzały swój stary PIN, aby utworzyć nowy, i umieszczały kartę z tyłu smartfona, aby zweryfikować lub zastosować zmianę.
Ponieważ osoba atakująca miała już dostęp do zaatakowanego konta, mogła zmienić limity wypłat. Jeśli metoda przekazywania NFC nie zadziała, może po prostu przelać pieniądze na inne konto. Jednak korzystanie z NGate ułatwia atakującemu dostęp do funduszy ofiary bez pozostawiania śladów na koncie bankowym atakującego. Schemat sekwencji ataku pokazano na rysunku 6.
Naukowcy stwierdzili, że NGate lub aplikacje do niego podobne można wykorzystać w innych scenariuszach, takich jak klonowanie niektórych kart inteligentnych używanych do innych celów. Atak będzie polegał na skopiowaniu unikalnego identyfikatora tagu NFC, w skrócie UID.
„Podczas naszych testów pomyślnie przenieśliśmy unikalny identyfikator użytkownika z tagu MIFARE Classic 1K, który jest zwykle używany w biletach transportu publicznego, identyfikatorach, kartach członkowskich lub studenckich i podobnych przypadkach użycia” – napisali badacze. „Dzięki NFCGate można przeprowadzić atak transferowy NFC, aby odczytać kod NFC w jednym miejscu i w czasie rzeczywistym uzyskać dostęp do budynków w innym miejscu poprzez fałszowanie jego unikalnego identyfikatora użytkownika, jak pokazano na rysunku 7”.
Operacje klonowania mogą mieć miejsce w sytuacjach, gdy osoba atakująca może fizycznie uzyskać dostęp do karty lub na krótko odczytać kartę znajdującą się w torebkach, portfelach, plecakach lub etui na smartfony zawierających karty. Aby przeprowadzić i symulować takie ataki, atakujący potrzebuje niestandardowego i zrootowanego urządzenia z Androidem. Telefony zainfekowane wirusem NGate nie miały tego warunku.