Το κακόβουλο λογισμικό Android κλέβει δεδομένα καρτών πληρωμής χρησιμοποιώντας τεχνολογία που δεν είχε ξαναδεί

Η εταιρεία κυβερνοασφάλειας ESET είπε ότι ένα νέο κακόβουλο λογισμικό που εκτελείται στο λειτουργικό σύστημα Android κλέβει δεδομένα κάρτας πληρωμής χρησιμοποιώντας τον αναγνώστη NFC στη μολυσμένη συσκευή και τα μεταδίδει στους εισβολείς σε ΑΤΜ ή σημεία πώλησης.

Οι ερευνητές της ESET ονόμασαν το κακόβουλο λογισμικό NGate επειδή περιλαμβάνει… Πύλη NFCένα εργαλείο ανοιχτού κώδικα για την καταγραφή, ανάλυση ή τροποποίηση της κυκλοφορίας NFC. Συντομογραφία για Επικοινωνίες κοντινού πεδίουΤο NFC είναι ένα πρωτόκολλο που επιτρέπει σε δύο συσκευές να επικοινωνούν ασύρματα σε μικρές αποστάσεις.

Νέο σενάριο επίθεσης στο Android

“Αυτό είναι ένα νέο σενάριο επίθεσης για το Android και η πρώτη φορά που βλέπουμε κακόβουλο λογισμικό Android με αυτή τη δυνατότητα να χρησιμοποιείται στη φύση”, δήλωσε ο ερευνητής της ESET, Lukas Stefanko, σε μια αναφορά. βίντεο «Η ανακάλυψη δείχνει ότι το κακόβουλο λογισμικό NGate μπορεί να μεταφέρει δεδομένα NFC από την κάρτα ενός θύματος μέσω μιας παραβιασμένης συσκευής στο smartphone του εισβολέα, ο οποίος στη συνέχεια μπορεί να πλαστογραφήσει την κάρτα και να αποσύρει χρήματα από ένα ΑΤΜ».

Το κακόβουλο λογισμικό εγκαταστάθηκε μέσω παραδοσιακών σεναρίων phishing, όπως ο εισβολέας να στέλνει μηνύματα σε στόχους και να τους εξαπατά να εγκαταστήσουν το NGate από βραχύβια τομείς που υποδύονται τράπεζες ή επίσημες εφαρμογές τραπεζικής για κινητά που είναι διαθέσιμες στο Google Play. Το NGate μεταμφιέζεται ως νόμιμη εφαρμογή της Τράπεζας Στόχου και ζητά από τον χρήστη να εισαγάγει το αναγνωριστικό πελάτη της τράπεζας, την ημερομηνία γέννησης και το αντίστοιχο PIN της κάρτας. Η εφαρμογή ζητά συνεχώς από τον χρήστη να ενεργοποιήσει το NFC και να σαρώσει την κάρτα.

Η ESET είπε ότι εντόπισε τη χρήση του NGate έναντι τριών τσεχικών τραπεζών από τον Νοέμβριο και εντόπισε έξι ξεχωριστές εφαρμογές NGate σε κυκλοφορία μεταξύ εκείνης της εποχής και του Μαρτίου του τρέχοντος έτους. Ορισμένες από τις εφαρμογές που χρησιμοποιήθηκαν τους τελευταίους μήνες της καμπάνιας είχαν τη μορφή Προοδευτικών Εφαρμογών Ιστού, που είναι σύντομο για Προοδευτικές διαδικτυακές εφαρμογέςτο οποίο όπως αναφέρθηκε την Πέμπτη μπορεί να εγκατασταθεί σε συσκευές Android και iOS ακόμα και όταν οι ρυθμίσεις (υποχρεωτικές σε iOS) εμποδίζουν την εγκατάσταση εφαρμογών που διατίθενται από ανεπίσημες πηγές.

Η ESET είπε ότι ο πιο πιθανός λόγος που η καμπάνια NGate έληξε τον Μάρτιο ήταν… σύλληψη Η τσεχική αστυνομία συνέλαβε έναν 22χρονο, ο οποίος, όπως είπε, πιάστηκε να φοράει μάσκα ενώ έβγαζε χρήματα από ένα ΑΤΜ στην Πράγα. Οι ερευνητές είπαν ότι ο ύποπτος “δημιούργησε έναν νέο τρόπο για να εξαπατήσει τους ανθρώπους από τα χρήματά τους” χρησιμοποιώντας ένα σχέδιο που φαινόταν πανομοιότυπο με αυτό που αφορούσε το NGate.

Ο Stefanko και ο συνεργάτης του ερευνητής της ESET Jacob Osmani εξήγησαν πώς λειτούργησε η επίθεση:

Η ανακοίνωση της τσεχικής αστυνομίας αποκάλυψε ότι το σενάριο επίθεσης ξεκίνησε με τους επιτιθέμενους να έστελναν μηνύματα SMS σε πιθανά θύματα σχετικά με μια φορολογική δήλωση, συμπεριλαμβανομένου ενός συνδέσμου σε έναν ιστότοπο ηλεκτρονικού ψαρέματος που υποδύεται τις τράπεζες. Αυτοί οι σύνδεσμοι είναι πιθανό να οδηγήσουν σε κακόβουλες προοδευτικές εφαρμογές Ιστού. Μόλις το θύμα εγκαταστήσει την εφαρμογή και εισαγάγει τα διαπιστευτήριά του, ο εισβολέας απέκτησε πρόσβαση στον λογαριασμό του θύματος. Στη συνέχεια, ο δράστης κάλεσε το θύμα, προσποιούμενος ότι ήταν τραπεζικός υπάλληλος. Το θύμα ενημερώθηκε ότι ο λογαριασμός του είχε παραβιαστεί, πιθανότατα λόγω του προηγούμενου μηνύματος κειμένου. Ο εισβολέας στην πραγματικότητα έλεγε την αλήθεια – ο λογαριασμός του θύματος είχε χακαριστεί, αλλά αυτή η αλήθεια οδήγησε στη συνέχεια σε ένα άλλο ψέμα.

Για να προστατεύσει τα χρήματά του, ζητήθηκε από το θύμα να αλλάξει το PIN του και να επαληθεύσει την τραπεζική του κάρτα χρησιμοποιώντας μια εφαρμογή για κινητά – κακόβουλο λογισμικό NGate. Ένας σύνδεσμος για τη λήψη του NGate εστάλη μέσω SMS. Υποψιαζόμαστε ότι στην εφαρμογή NGate, τα θύματα εισήγαγαν το παλιό τους PIN για να δημιουργήσουν ένα νέο και τοποθετούσαν την κάρτα τους στο πίσω μέρος του smartphone τους για να επαληθεύσουν ή να εφαρμόσουν την αλλαγή.

Εφόσον ο εισβολέας είχε ήδη πρόσβαση στον παραβιασμένο λογαριασμό, μπορούσε να αλλάξει τα όρια ανάληψης. Εάν η μέθοδος προώθησης NFC δεν λειτουργεί, μπορεί απλώς να μεταφέρει τα χρήματα σε άλλο λογαριασμό. Ωστόσο, η χρήση του NGate διευκολύνει τον εισβολέα να έχει πρόσβαση στα χρήματα του θύματος χωρίς να αφήνει ίχνη στον τραπεζικό λογαριασμό του εισβολέα. Ένα διάγραμμα της αλληλουχίας επίθεσης φαίνεται στο σχήμα 6.

Το NGate ή εφαρμογές παρόμοιες με αυτό θα μπορούσαν να χρησιμοποιηθούν σε άλλα σενάρια, όπως η κλωνοποίηση ορισμένων έξυπνων καρτών που χρησιμοποιούνται για άλλους σκοπούς, είπαν οι ερευνητές. Η επίθεση θα λειτουργήσει αντιγράφοντας το μοναδικό αναγνωριστικό της ετικέτας NFC, που συντομεύεται ως UID.

«Κατά τη διάρκεια των δοκιμών μας, μεταφέραμε με επιτυχία το μοναδικό αναγνωριστικό χρήστη από την ετικέτα MIFARE Classic 1K, η οποία χρησιμοποιείται συνήθως για εισιτήρια δημόσιας συγκοινωνίας, διακριτικά ταυτότητας, κάρτες μέλους ή φοιτητή και παρόμοιες περιπτώσεις χρήσης», έγραψαν οι ερευνητές. “Χρησιμοποιώντας το NFCGate, είναι δυνατό να εκτελέσετε μια επίθεση μεταφοράς NFC για να διαβάσετε έναν κώδικα NFC σε μια τοποθεσία και, σε πραγματικό χρόνο, να αποκτήσετε πρόσβαση σε κτίρια σε διαφορετική τοποθεσία, πλαστογραφώντας το μοναδικό αναγνωριστικό χρήστη του, όπως φαίνεται στην Εικόνα 7.”

Οι λειτουργίες κλωνοποίησης ενδέχεται να προκύψουν σε καταστάσεις όπου ένας εισβολέας μπορεί να αποκτήσει φυσικά πρόσβαση σε μια κάρτα ή μπορεί να διαβάσει για λίγο μια κάρτα σε τσάντες, πορτοφόλια, σακίδια πλάτης ή θήκες smartphone που περιέχουν κάρτες. Για να πραγματοποιήσει και να προσομοιώσει τέτοιες επιθέσεις, ο εισβολέας απαιτεί μια προσαρμοσμένη και ριζωμένη συσκευή Android. Τα τηλέφωνα που είχαν μολυνθεί με τον ιό NGate δεν είχαν αυτήν την απαίτηση.