Un nou malware Android numit NGate poate fura bani de pe cardurile de plată prin transmiterea către dispozitivul unui atacator a datelor citite de cipul de comunicație în câmp apropiat (NFC).
Mai exact, NGate permite atacatorilor să emuleze cardurile victimelor și să facă plăți neautorizate sau să retragă numerar de la bancomate.
Campania este activă din noiembrie 2023 și este legată de un raport recent de la ESET privind creșterea utilizării aplicațiilor web progresive (PWAs) și a WebAPK-uri avansate pentru a fura date bancare de la utilizatorii din Cehia.
În cercetarea publicată astăzi, compania de securitate cibernetică spune că malware-ul NGate a fost folosit și în timpul campaniei în unele cazuri pentru a efectua furturi de numerar direct.
Atacurile încep cu mesaje text dăunătoare, apeluri automate cu mesaje preînregistrate sau malvertising pentru a păcăli victimele să instaleze o PWA dăunătoare și ulterior WebAPK-uri pe dispozitivele lor.
Aceste aplicații web sunt promovate ca actualizări de securitate urgente și folosesc iconița oficială și interfața de conectare a băncii vizate pentru a fura datele de acces ale clientului.
Aceste aplicații nu necesită nicio permisiune la instalare. În schimb, ele abuzează de API-ul browserului web în care rulează pentru a obține accesul necesar la componente hardware ale dispozitivului.
Odată ce etapa de pescuit este finalizată prin intermediul WebAPK-ului, victima este păcălită să instaleze și NGate printr-o etapă ulterioară în a doua fază a atacului.
La instalare, malware-ul activează un component open-source numit ‘NFCGate’ care a fost dezvoltat de cercetători universitari pentru testarea și experimentarea NFC-ului.
Instrumentul suportă capturarea, transmiterea, retransmiterea și clonarea pe dispozitiv, și nu necesită întotdeauna ca dispozitivul să fie ‘rooted’ pentru a funcționa.
NGate folosește instrumentul pentru a captura datele NFC de pe cardurile de plată în apropierea dispozitivului infectat și apoi le transmite către dispozitivul atacatorului, fie direct, fie printr-un server.
Atacatorul poate salva aceste date ca un card virtual pe dispozitivul său și poate retransmite semnalul la bancomatele care folosesc NFC pentru a retrage numerar sau pentru a face o plată la un sistem de punct de vânzare (PoS).
Într-o demonstrație video, cercetătorul de malware al ESET, Lukas Stefanko, arată de asemenea cum componenta NFCGate din NGate poate fi folosită pentru a scana și captura datele cardului din portofele și rucsacuri. În acest scenariu, un atacator la un magazin ar putea primi datele printr-un server și ar putea face o plată fără contact folosind cardul victimei.
Stefanko menționează că malware-ul poate fi folosit și pentru a clona identificatorii unici ai unor carduri de acces NFC și jetoane pentru a intra în zone restricționate.
O retragere de numerar la majoritatea bancomatelor necesită codul PIN al cardului, pe care cercetătorii spun că îl obțin prin manipularea socială a victimelor.
După ce etapa de pescuit PWA/WebAPK este finalizată, escrocii sună victima, pretinzând că sunt angajați bancari, informându-i despre un incident de securitate care îi afectează.
Apoi trimit un SMS cu un link pentru a descărca NGate, presupus a fi o aplicație folosită pentru verificarea cardului lor de plată existent și a codului PIN.
Odată ce victima scanează cardul cu dispozitivul lor și introduce PIN-ul pentru a-l ‘verifica’ pe interfața de pescuit a malware-ului, informațiile sensibile sunt transmise atacatorului, permitând retragerile.
Poliția cehă a prins deja unul dintre infractorii cibernetici care efectuau aceste retrageri în Praga, dar deoarece tactica ar putea câștiga teren, reprezintă un risc semnificativ pentru utilizatorii Android.
ESET subliniază de asemenea posibilitatea de a clona etichetele de acces în zonă, biletele de transport, cardurile de identitate, cardurile de membru și alte tehnologii alimentate de NFC, astfel încât pierderea directă de bani nu este singurul scenariu rău.
Dacă nu folosiți activ NFC, puteți reduce riscul dezactivând cipul NFC al dispozitivului dumneavoastră. Pe Android, mergeți la Setări > Dispozitive conectate > Preferințe de conexiune > NFC și comutați comutatorul în poziția oprit.
Dacă aveți nevoie de NFC activat în permanență, examinați toate permisiunile aplicației și restricționați accesul doar la cele care au nevoie de el; instalați numai aplicații bancare de pe pagina oficială a instituției sau de pe Google Play și asigurați-vă că aplicația pe care o utilizați nu este un WebAPK.
WebAPK-urile sunt de obicei foarte mici ca dimensiune, sunt instalate direct de pe o pagină de browser, nu apar sub ‘/data/app’ ca aplicațiile Android standard și afișează informații limitate atipice în Setări > Aplicații.
Leave a Reply