Nauja „Android“ kenkėjiška programa, pavadinta „NGate“, gali pavogti pinigus iš mokėjimo kortelių, perdavusi į užpuoliko įrenginį artimojo lauko ryšio (NFC) lusto nuskaitytus duomenis.
Konkrečiai, NGate leidžia užpuolikams imituoti aukų korteles ir atlikti neteisėtus mokėjimus arba išimti grynuosius pinigus iš bankomatų.
Kampanija buvo aktyvi nuo 2023 m. lapkričio mėn. ir yra susijusi su naujausia ESET ataskaita apie vis didesnį progresyvių žiniatinklio programų (PWA) ir pažangių WebAPK naudojimą siekiant pavogti banko kredencialus iš vartotojų Čekijoje.
Šiandien paskelbtame tyrime kibernetinio saugumo įmonė teigia, kad kampanijos metu kai kuriais atvejais buvo naudojama ir kenkėjiška NGate programinė įranga, siekiant įvykdyti tiesioginę pinigų vagystę.
Kortelės duomenų vagystė per NFC lustą
Atakos prasideda nuo kenkėjiškų tekstų, automatinių skambučių su iš anksto įrašytomis žinutėmis arba kenkėjiškomis reklamomis, siekiant apgauti aukas savo įrenginiuose įdiegti kenkėjišką PWA, o vėliau ir WebAPK.
Šios žiniatinklio programos reklamuojamos kaip skubūs saugos naujinimai ir naudoja oficialią tikslinio banko piktogramą ir prisijungimo sąsają, kad pavogtų kliento prieigos kredencialus.
Šaltinis: ESET
Diegiant šioms programoms nereikia leidimo. Vietoj to, jie piktnaudžiauja žiniatinklio naršyklės, kurioje veikia, API, kad gautų reikiamą prieigą prie įrenginio aparatinės įrangos komponentų.
Kai sukčiavimo veiksmas yra atliktas naudojant WebAPK, auka taip pat apgaunama įdiegti NGate per kitą veiksmą antroje atakos fazėje.
Įdiegusi kenkėjiška programa suaktyvina atvirojo kodo komponentą, vadinamą „NFCGate“, kurį universiteto mokslininkai sukūrė NFC bandymams ir eksperimentams.
Įrankis palaiko fiksavimo, perdavimo, atkūrimo ir klonavimo funkcijas įrenginyje ir ne visada reikalauja, kad įrenginys veiktų „įsišaknijęs“.
„NGate“ naudoja įrankį, kad užfiksuotų NFC duomenis iš mokėjimo kortelių, esančių arti užkrėsto įrenginio, ir tiesiogiai arba per serverį perduoda juos užpuoliko įrenginiui.
Užpuolikas gali išsaugoti šiuos duomenis kaip virtualią kortelę savo įrenginyje ir pakartoti signalą bankomatuose, kurie naudoja NFC gryniesiems išsiimti arba atlikti mokėjimą pardavimo taško (PoS) sistemoje.
Šaltinis: ESET
Vaizdo demonstracijoje ESET kenkėjiškų programų tyrinėtojas Lukas Stefanko taip pat parodo, kaip NFCGate komponentas NGate gali būti naudojamas kortelių duomenims nuskaityti ir užfiksuoti piniginėse ir kuprinėse. Pagal šį scenarijų užpuolikas parduotuvėje galėtų gauti duomenis per serverį ir bekontakčiu mokėjimu atlikti naudodamas aukos kortelę.
Stefanko pažymi, kad kenkėjiška programa taip pat gali būti naudojama kai kurių NFC prieigos kortelių ir žetonų unikaliems identifikatoriams klonuoti, kad patektų į apribotas zonas.
Kortelės PIN kodo gavimas
Norint išsiimti grynųjų pinigų iš daugumos bankomatų, reikalingas kortelės PIN kodas, kuris, tyrėjų teigimu, gaunamas naudojant socialinę auką.
Atlikus PWA / WebAPK sukčiavimo veiksmą, sukčiai skambina aukai, apsimesdami, kad jie yra banko darbuotojai, ir praneša apie juos paveikiantį saugumo incidentą.
Tada jie išsiunčia SMS su nuoroda atsisiųsti NGate – tariamai programėlę, kuri bus naudojama esamai mokėjimo kortelei ir PIN kodui patikrinti.
Kai auka nuskaito kortelę savo įrenginiu ir įveda PIN kodą, kad ją „patvirtintų“ kenkėjiškos programinės įrangos sukčiavimo sąsajoje, neskelbtina informacija perduodama užpuolikui, kad būtų galima išsiimti.
Šaltinis: ESET
Čekijos policija jau sučiupo vieną iš kibernetinių nusikaltėlių, vykdančių šiuos išėmimus Prahoje, tačiau, kadangi tokia taktika gali įsitvirtinti, sukels didelę riziką Android naudotojams.
ESET taip pat pabrėžia galimybę klonuoti prieigos prie zonos žymas, transporto bilietus, ID ženklelius, narystės korteles ir kitas NFC technologijas, todėl tiesioginis pinigų praradimas nėra vienintelis blogas scenarijus.
Jei aktyviai nenaudojate NFC, galite sumažinti riziką išjungę įrenginio NFC lustą. Jei naudojate „Android“, eikite į Nustatymai > Prijungti įrenginiai > Ryšio nuostatos > NFC ir pasukite jungiklį į išjungimo padėtį.
Jei reikia, kad NFC visada būtų įjungtas, atidžiai išnagrinėkite visus programos leidimus ir apribokite prieigą tik tiems, kuriems to reikia; banko programas įdiekite tik iš oficialaus įstaigos tinklalapio arba „Google Play“ ir įsitikinkite, kad jūsų naudojama programa nėra WebAPK.
WebAPK paprastai yra labai mažo dydžio, įdiegiami tiesiai iš naršyklės puslapio, nerodomi skiltyje „/data/app“, kaip standartinėse „Android“ programose, o skiltyje „Nustatymai“ > „Programos“ rodoma netipiškai ribota informacija.
