Ellopja az NFC adatait egy új androidos kártevő

Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott, úgynevezett crimeware kampányt, amely három cseh bank ügyfeleit vette célba. Az NGate-nek elnevezett Android alapú szoftver újszerű módon képes az áldozatok bankkártya adatait a támadók telefonjára továbbítani. A támadók elsődleges célja az volt, hogy ATM-eken keresztül készpénzt vegyenek fel az áldozatok számláiról. Ezt úgy érték el, hogy a fizikai bankkártyák NFC-adatait a támadó készülékére továbbították az NGate segítségével. Amennyiben ez a módszer sikertelen volt, a tettesnek még arra is volt egy tartalék terve, hogy az áldozatok számláiról más bankszámlákra utaljon át pénzösszegeket – olvasható a cég közleményében.

A 2010-es évek második felében jelent meg új fizetési szabványként a rádiófrekvenciás azonosításból (RFID) kifejlesztett közelmezős kommunikáció (Near Field Communication, azaz NFC). Ezzel a bankkártyák még felhasználóbarátabbá váltak, hiszen vásárláskor elég egy NFC-kompatibilis fizetési eszköz közelébe tartani őket.

Az ESET szakértői még soha nem találkoztak korábban ilyen típusú NFC átviteli technikával. A módszer egy NFCGate nevű eszközön alapul, amelyet a németországi Darmstadti Műszaki Egyetem hallgatói fejlesztettek ki NFC forgalom rögzítésére, elemzésére és módosítására; ezért nevezték el az új malware-családot NGate-nek.

Az áldozatokat azzal vették rá a rosszindulatú program telepítésére, hogy elhitették velük, hogy a bankjukkal kommunikálnak arról, hogy az eszközüket állítólag feltörték. Valójában azonban maguk a felhasználók fertőzték meg az Android operációs rendszert futtató eszközeiket azzal, hogy előzőleg telepítettek egy alkalmazást a csalóktól érkezett linkről, amit egy adóvisszatérítésről szóló SMS-ben küldtek ki.

Fontos megjegyezni, hogy az NGate soha nem volt elérhető a hivatalos Google Play áruházban.

Az NGate Android kártevő egy 2023 novembere óta Csehországban aktív támadó adathalász tevékenységéhez kapcsolódik. A kiberbiztonsági szakértők ugyanakkor úgy vélik, ezeket a tevékenységeket egy 2024 márciusában történt letartóztatás után felfüggesztették. Az ESET kutatócsapata először 2023. november végén észlelte a fenyegetést, amely vezető cseh bankok ügyfeleit vette célba.

A rosszindulatú programokat rövid ideig működő domaineken keresztül terjesztették, amelyek hiteles banki weboldalakat vagy a Google Play áruházban elérhető hivatalos mobilbanki alkalmazásokat imitáltak. Ezeket a hamis domaineket az ESET Brand Intelligence Service azonosította, és jelezte az ügyfelei felé. Az elkövetők a progresszív webalkalmazások (PWA-k) lehetőségeit használták ki, majd később továbbfejlesztették stratégiájukat azzal, hogy a PWA-k egy kifinomultabb, WebAPK-ként ismert verzióját használták. A művelet végül az NGate malware alkalmazásával csúcsosodott ki.

2024 márciusában a kutatók felfedezték, hogy az NGate ugyanazokon oldalakon vált elérhetővé, amelyeket korábban adathalász kampányok során használtak rosszindulatú PWA-k és WebAPK-k terjesztésére. Telepítés után az NGate egy adathalász webhelyet jelenít meg, ami banki adatokat kér, és azokat a támadó szerverére küldi.

Az adathalász funkciói mellett az NGate egy NFCGate nevű szoftvert is tartalmaz, amelyet arra használnak fel, hogy NFC adatokat továbbítson két eszköz – az áldozat és az elkövető készüléke – között.

Az NGate arra is felszólítja az áldozatokat, hogy adják meg érzékeny adataikat, például a banki ügyfélazonosítójukat, a születési dátumukat és a bankkártyájuk PIN-kódját, továbbá arra kéri őket, hogy kapcsolják be az NFC funkciót okostelefonjukon. Ezt követően az áldozatoknak a bankkártyájukat az okostelefon hátuljához kell helyezniük, amíg a kártékony alkalmazás fel nem ismeri a kártyát.

Az NGate által használt technikán kívül a támadó, ha fizikai hozzáféréssel rendelkezik a bankkártyákhoz, potenciálisan lemásolhatja azokat. Ezt a technikát olyan elkövető alkalmazhatja, aki a kártyákat táskákon, pénztárcákon, hátizsákokon vagy bankkártyák tárolására alkalmas okostelefon-tokokon keresztül próbálja meg illetéktelenül leolvasni, például nyilvános és zsúfolt helyeken. Azonban ez a forgatókönyv általában csak kis összegű érintés nélküli fizetésekre korlátozódik a terminálokon.

Egészen meglepő és újszerű volt ez a módszer. Az ilyen összetett támadások elleni védekezéshez mindenkinek ismernie kell, hogyan léphet fel hatékonyan az adathalászat, a social engineering és az Android malware taktikák ellen.

„Ez magában foglalja, hogy naprakész védelmi megoldást futtassunk az okostelefonunkon, mindig ellenőrizzük a webhelyek URL címeit, csak a hivatalos áruházakból töltsünk le alkalmazásokat, soha ne adjuk ki a PIN-kódjainkat, kapcsoljuk ki az NFC funkciót, amikor nincs rá szükségünk, illetve védőtokokat vagy hitelesítéssel védett virtuális kártyákat használjunk” – tanácsolja Csizmazia-Darab István, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője.

Kapcsolódó
Háromszor próbáltak kifosztani telefonon, de vannak jelei, hogy csaló beszél a vonal másik végén
Szakértővel jártuk körbe, mire kell figyelni, ha telefonon megkeresik egy gyanús utalásra hivatkozva.

The post Ellopja az NFC adatait egy új androidos kártevő first appeared on 24.hu.

Visited 1 times, 1 visit(s) today
Loading RSS Feed

Loading RSS Feed