Μια νέα έρευνα από ερευνητές της ESET, αποκαλύπτει πως κυβερνοεγκληματίες έχουν βρει τρόπο να κλέβουν τα στοιχεία των καρτών από χρήστες, αποκτώντας πρόσβαση στα δεδομένα στο NFC chip της συσκευής τους. Οι ερευνητές χρησιμοποίησαν το progressive web apps (PWA), προηγμένα WebAPKs και με αυτό τον τρόπο κλέβουν τα τραπεζικά στοιχεία των χρηστών. Το νέο malware κυκλοφορεί ήδη και έχει το όνομα NGate.

Η νέα απειλή στο Android κλέβει χρήματα από τον Νοέμβριο του 2023, σύμφωνα με την ESET. Σε έρευνα που δημοσιεύτηκε σήμερα, η εταιρεία κυβερνοασφάλειας λέει ότι το κακόβουλο λογισμικό NGate χρησιμοποιήθηκε επίσης κατά τη διάρκεια εκστρατείας σε ορισμένες περιπτώσεις για την πραγματοποίηση άμεσης κλοπής μετρητών. Συγκεκριμένα, το NGate επιτρέπει στους εισβολείς να μιμούνται τις κάρτες των θυμάτων και να πραγματοποιούν μη εξουσιοδοτημένες πληρωμές ή να κάνουν ανάληψη μετρητών από τα ΑΤΜ.

Οι επιθέσεις ξεκινούν με κακόβουλα μηνύματα και αυτοματοποιημένες κλήσεις με ηχογραφημένα μηνύματα ή κακόβουλες διαφημίσεις, ώστε να εξαπατήσουν τα θύματα να κατεβάσουν και να εγκαταστήσουν ένα κακόβουλο PWA και αργότερα το WebAPK στη συσκευή τους.

Αυτές οι διαδικτυακές εφαρμογές, προωθούνται ως επείγουσες ενημερώσεις ασφαλείας, τραπεζικών εφαρμογών. Ο χρήστης πηγαίνει στην εφαρμογή και την βρίσκει με το ίδιο εικονίδιο με την αυθεντική και το ίδιο όνομα. Με αυτό τον τρόπο στοχεύουν σε συγκεκριμένες τράπεζες, για να κλέψουν τα στοιχεία εισόδου των πελατών.

Μάλιστα, αυτές οι εφαρμογές δεν απαιτούν καμία άδεια κατά την εγκατάσταση. Αντίθετα, κάνουν κατάχρηση του API του προγράμματος περιήγησης ιστού που εκτελούν για να αποκτήσουν την απαραίτητη πρόσβαση στα στοιχεία υλικού της συσκευής.

NGate
Διαδικασία αναμετάδοσης δεδομένων NFC Πηγή: ESET

Μόλις ολοκληρωθεί το βήμα phishing μέσω του WebAPK, το θύμα εξαπατάται ώστε να εγκαταστήσει επίσης το NGate μέσω ενός επόμενου βήματος στη δεύτερη φάση επίθεσης.

Κατά την εγκατάσταση, το κακόβουλο λογισμικό ενεργοποιεί ένα στοιχείο ανοιχτού κώδικα που ονομάζεται « NFCGate » που αναπτύχθηκε από πανεπιστημιακούς ερευνητές για δοκιμές και πειραματισμούς NFC.

Το εργαλείο υποστηρίζει λειτουργίες ανάγνωσης, αναμετάδοσης, επανάληψης και κλωνοποίησης στη συσκευή και δεν απαιτεί δικαιώματα root στη συσκευή για να λειτουργήσει. Το NGate χρησιμοποιεί το εργαλείο για να συλλαμβάνει δεδομένα NFC από κάρτες πληρωμών σε κοντινή απόσταση από τη μολυσμένη συσκευή και στη συνέχεια να τα μεταδίδει στη συσκευή του εισβολέα, είτε απευθείας είτε μέσω διακομιστή. Κοινώς, όταν το κινητό σας έρθει κοντά με το πορτοφόλι σας, διαβάζει τις τραπεζικές κάρτες και τις στέλνει στον κυβερνοεγκληματια, ώστε να τις αντιγράψει στη συσκευή του, ώστε να μπορεί να της χρησιμοποιήσει κανονικά.

Ο εισβολέας μπορεί να αποθηκεύσει αυτά τα δεδομένα ως εικονική κάρτα στη συσκευή του και να αναπαράγει ξανά το σήμα σε ΑΤΜ που χρησιμοποιούν NFC για ανάληψη μετρητών ή να πραγματοποιήσει μια πληρωμή σε ένα κατάστημα με PoS.

Σε μια επίδειξη βίντεο, ο ερευνητής κακόβουλου λογισμικού της ESET, Lukas Stefanko, δείχνει επίσης πώς NFCGate και το NGate μπορεί να χρησιμοποιηθεί για τη σάρωση και τη λήψη δεδομένων καρτών σε πορτοφόλια και σακίδια. Σε αυτό το σενάριο, ένας εισβολέας σε ένα κατάστημα θα μπορούσε να λάβει τα δεδομένα μέσω ενός διακομιστή και να πραγματοποιήσει μια ανέπαφη πληρωμή χρησιμοποιώντας την κάρτα του θύματος.

Ο Stefanko σημειώνει ότι το κακόβουλο λογισμικό μπορεί επίσης να χρησιμοποιηθεί για την κλωνοποίηση των μοναδικών αναγνωριστικών ορισμένων καρτών και διακριτικών πρόσβασης NFC για να εισέλθει σε απαγορευμένες περιοχές.

Για την ανάληψη μετρητών από ΑΤΜ, απαιτείται το PIN της κάρτας, όμως υπάρχει μηχανισμός για την απόκτησή του από τους κυβερνοεγκληματίες. Οι απατεώνες, αφού πλασάρουν το Phishing PWA/WebAPK στο θύμα, τον καλούν και προσποιούνται πως είναι τραπεζικός υπάλληλος. Στη συνέχεια του στέλνουν ένα SMS με ένα σύνδεσμο για να κατεβάσουν το NGate, ενώ μαζί έρχεται και μια εφαρμογή για την επαλήθευση της υπάρχουσας κάρτας, που φυσικά έχει σαν στόχο να κάνει τον χρήστη να επαληθεύσει την κάρτα του, βάζοντας το PIN.

Μόλις το θύμα σαρώσει την κάρτα με τη συσκευή του και εισαγάγει το PIN για να το «επαληθεύσει» στη διεπαφή phishing του κακόβουλου λογισμικού, οι ευαίσθητες πληροφορίες μεταδίδονται στον εισβολέα, επιτρέποντας τις αναλήψεις.

NGate
Η πλήρης επισκόπηση επίθεσης
Πηγή: ESET

Η ESET υπογραμμίζει επίσης τη δυνατότητα κλωνοποίησης ετικετών πρόσβασης περιοχών, εισιτηρίων μεταφοράς, σημάτων ταυτότητας, καρτών μέλους και άλλων τεχνολογιών που λειτουργούν με NFC, επομένως η άμεση απώλεια χρημάτων δεν είναι το μόνο κακό σενάριο.

Εάν δεν χρησιμοποιείτε ενεργά το NFC, μπορείτε να μειώσετε τον κίνδυνο απενεργοποιώντας το τσιπ NFC της συσκευής σας. Στο Android, μεταβείτε στις Ρυθμίσεις > Συνδεδεμένες συσκευές > Προτιμήσεις σύνδεσης > NFC και γυρίστε το διακόπτη στη θέση απενεργοποίησης.

Εάν χρειάζεστε ανά πάσα στιγμή ενεργοποιημένο το NFC, ελέγξτε όλες τις άδειες εφαρμογών και περιορίστε την πρόσβαση μόνο σε όσους το χρειάζονται. εγκαταστήστε μόνο εφαρμογές τραπεζών από την επίσημη ιστοσελίδα του ιδρύματος ή το Google Play και βεβαιωθείτε ότι η εφαρμογή που χρησιμοποιείτε δεν είναι WebAPK.

Τα WebAPK είναι συνήθως πολύ μικρά σε μέγεθος, εγκαθίστανται απευθείας από μια σελίδα προγράμματος περιήγησης, δεν εμφανίζονται στην περιοχή ‘/data/app’ όπως οι τυπικές εφαρμογές Android και εμφανίζουν άτυπα περιορισμένες πληροφορίες στις Ρυθμίσεις > Εφαρμογές.

H Google έκανε δηλώσεις για το θέμα και αναφέρει πως πλέον το Google Play Protect μπορεί να ανιχνεύσει το NGate.

«Με βάση τις τρέχουσες ανιχνεύσεις μας, δεν βρέθηκαν εφαρμογές που να περιέχουν αυτό το κακόβουλο λογισμικό στο Google Play.

Cosmote TV: Αυτά είναι τα νέα μηνιαία πακέτα χωρίς δεσμεύσεις και συμβόλαια!

Οι χρήστες Android προστατεύονται αυτόματα από γνωστές εκδόσεις αυτού του κακόβουλου λογισμικού από το Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή σε συσκευές Android με Υπηρεσίες Google Play.

Το Google Play Protect μπορεί να προειδοποιεί τους χρήστες ή να αποκλείει εφαρμογές που είναι γνωστό ότι παρουσιάζουν κακόβουλη συμπεριφορά, ακόμη και όταν αυτές οι εφαρμογές προέρχονται από πηγές εκτός του Play.» δήλωσε εκπρόσωπος της Google.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

1 ΣΧΟΛΙΟ

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.