Ένα νέο malware (κακόβουλο λογισμικό) για Android με την ονομασία NGate μπορεί να κλέψει χρήματα από κάρτες πληρωμής, μεταφέροντας σε κάποια ξένη συσκευή τα δεδομένα που διαβάζει το NFC chip.
Τι είναι το NFC
Το NFC είναι το ακρωνύμιο του Near Field Communication, που στα ελληνικά σημαίνει Επικοινωνία Κοντά στο Πεδίο. Είναι μια τεχνολογία ασύρματης επικοινωνίας που επιτρέπει σε δύο ηλεκτρονικές συσκευές να ανταλλάξουν δεδομένα όταν βρίσκονται σε πολύ κοντινή απόσταση.
Το NFC έχει πολύ μεγάλη χρησιμότητα στην καθημερινότητα και εφαρμόζεται σε πάρα πολλούς τομείς. Ο διαμοιρασμός αρχείων γίνεται με πάρα πολύ εύκολο τρόπο απλά ακουμπώντας την μια συσκευή με την άλλη. Η πληρωμή ενός λογαριασμού γίνεται εξίσου εύκολα ακουμπώντας τις συσκευές και πληκτρολογώντας το ποσό. Η σύνδεση multiplayer ανάμεσα σε δυο συσκευές εδραιώνεται πιο γρήγορα από ποτέ απλά ακουμπώντας τις δυο συσκευές. Παράλληλα, υπάρχει η δυνατότητα να φέρουμε δυο συσκευές σε επαφή και οι χρήστες τους να γίνουν φίλοι στο Facebook ή να μοιραστούν κάτι κοινό ή την τοποθεσία όπου βρίσκονται.
Συγκεκριμένα, το NGate επιτρέπει στους χάκερ να μιμηθούν τις κάρτες των θυμάτων και να πραγματοποιήσουν μη εξουσιοδοτημένες πληρωμές ή ανάληψη μετρητών από ΑΤΜ.
Η εκστρατεία αυτή είναι ενεργή από τον Νοέμβριο του 2023 και σχετίζεται με πρόσφατη έκθεση της ESET για την αυξημένη χρήση των προοδευτικών διαδικτυακών εφαρμογών (PWAs) και των προηγμένων WebAPKs για την κλοπή τραπεζικών διαπιστευτηρίων από χρήστες στην Τσεχία.
Κλοπή δεδομένων κάρτας μέσω του NFC chip
Οι επιθέσεις ξεκινούν με κακόβουλα μηνύματα, αυτοματοποιημένες κλήσεις με προηχογραφημένα μηνύματα ή κακόβουλη διαφήμιση για να ξεγελάσουν τα θύματα να εγκαταστήσουν μια κακόβουλη PWA και αργότερα WebAPKs, στις συσκευές τους.
Αυτές οι διαδικτυακές εφαρμογές προωθούνται ως επείγουσες ενημερώσεις ασφαλείας και χρησιμοποιούν το επίσημο εικονίδιο και τη διεπαφή σύνδεσης της στοχευμένης τράπεζας για να κλέψουν τα διαπιστευτήρια πρόσβασης των πελατών.
Πλαστές σελίδες του Play Store από όπου εγκαθίσταται το WebAPK
Αυτές οι εφαρμογές δεν απαιτούν καμία άδεια κατά την εγκατάσταση. Αντίθετα, εκμεταλλεύονται το API του προγράμματος περιήγησης στο web στο οποίο εκτελούνται για να αποκτήσουν την απαραίτητη πρόσβαση σε διάφορα εξαρτήματα της συσκευής.
Μόλις ολοκληρωθεί το phishing μέσω του WebAPK, το θύμα παραπλανάται για να εγκαταστήσει επίσης το NGate μέσω ενός επόμενου βήματος στη δεύτερη φάση της επίθεσης.
Κατά την εγκατάσταση, το κακόβουλο λογισμικό ενεργοποιεί ένα ανοιχτού κώδικα στοιχείο που ονομάζεται ‘NFCGate’, το οποίο αναπτύχθηκε από ερευνητές πανεπιστημίου για δοκιμή και πειραματισμούς με NFC.
Το εργαλείο υποστηρίζει λειτουργίες καταγραφής, μετάδοσης, αναπαραγωγής και κλωνοποίησης εντός της συσκευής και δεν απαιτεί πάντα να είναι “rooted” η συσκευή για να λειτουργήσει.
Διαδικασία μετάδοσης δεδομένων NFC
Το NGate χρησιμοποιεί το εργαλείο για να καταγράψει δεδομένα NFC από κάρτες πληρωμής κοντά στη μολυσμένη συσκευή και στη συνέχεια να τα μεταδώσει στη συσκευή του επιτιθέμενου, είτε άμεσα είτε μέσω ενός διακομιστή.
Ο επιτιθέμενος μπορεί να αποθηκεύσει αυτά τα δεδομένα ως εικονική κάρτα στη συσκευή του και να αναπαράγει το σήμα σε ΑΤΜ που χρησιμοποιούν NFC για ανάληψη μετρητών ή να πραγματοποιήσει πληρωμή σε ένα σύστημα σημείου πώλησης (PoS).
Στο βίντεο επίδειξης, ο ερευνητής malware της ESET Lukas Stefanko δείχνει επίσης πώς το στοιχείο NFCGate στο NGate μπορεί να χρησιμοποιηθεί για να σαρώσει και να καταγράψει δεδομένα κάρτας από πορτοφόλια και σακίδια. Σε αυτό το σενάριο, ένας επιτιθέμενος σε ένα κατάστημα θα μπορούσε να λάβει τα δεδομένα μέσω ενός διακομιστή και να πραγματοποιήσει μια ανέπαφη πληρωμή χρησιμοποιώντας την κάρτα του θύματος.
Απόκτηση του PIN της κάρτας
Η ανάληψη χρημάτων από τα περισσότερα ΑΤΜ απαιτεί τον κωδικό PIN της κάρτας, τον οποίο, σύμφωνα με τους ερευνητές, αποκτούν οι απατεώνες χρησιμοποιώντας «κοινωνική μηχανική». Αυτό σημαίνει ότι χρησιμοποιούν ψεύτικες ιστορίες ή κόλπα για να πείσουν το θύμα να τους αποκαλύψει τον κωδικό PIN τους.
Αφού ολοκληρωθεί το βήμα phishing με την PWA/WebAPK, οι απατεώνες καλούν το θύμα, προσποιούμενοι ότι είναι υπάλληλοι της τράπεζας, ενημερώνοντάς τους για ένα περιστατικό ασφαλείας που τους επηρεάζει.
Στη συνέχεια, στέλνουν ένα SMS με σύνδεσμο για να κατεβάσουν το NGate, υποτίθεται ως εφαρμογή για επαλήθευση της υπάρχουσας κάρτας πληρωμής και του PIN.
Μόλις το θύμα σαρώσει την κάρτα με τη συσκευή του και εισαγάγει το PIN για να το «επαληθεύσει» στο περιβάλλον ηλεκτρονικού ψαρέματος του κακόβουλου λογισμικού, οι ευαίσθητες πληροφορίες μεταδίδονται στον επιτιθέμενο, επιτρέποντας τις αναλήψεις.
Πώς να απενεργοποιήσετε το NFC chip
Η αστυνομία της Τσεχίας έχει ήδη συλλάβει έναν από τους κυβερνοεγκληματίες που πραγματοποίησαν τέτοιες αναλήψεις στην Πράγα, αλλά καθώς η τακτική μπορεί να κερδίσει έδαφος, ενέχει σημαντικό κίνδυνο για τους χρήστες Android.
Η ESET επισημαίνει επίσης τη δυνατότητα κλωνοποίησης καρτών πρόσβασης, εισιτηρίων μεταφοράς, επαγγελματικών καρτών, καρτών μέλους και άλλων τεχνολογιών που λειτουργούν με NFC, οπότε η άμεση απώλεια χρημάτων δεν είναι το μόνο κακό σενάριο.
Αν δεν χρησιμοποιείτε ενεργά το NFC, μπορείτε να μειώσετε τον κίνδυνο απενεργοποιώντας το NFC chip της συσκευής σας.
Στα Android, πηγαίνετε στις Ρυθμίσεις > Συνδεδεμένες συσκευές > Προτιμήσεις σύνδεσης > NFC και ενεργοποιήστε το διακόπτη στην απενεργοποιημένη θέση.
Ρυθμίσεις NFC Android
Αν χρειάζεστε το NFC ενεργοποιημένο συνεχώς, εξετάστε προσεκτικά όλες τις άδειες εφαρμογών και περιορίστε την πρόσβαση μόνο σε αυτές που τη χρειάζονται. Εγκαταστήστε μόνο εφαρμογές τραπεζών από την επίσημη ιστοσελίδα της τράπεζας ή το Google Play και βεβαιωθείτε ότι η εφαρμογή που χρησιμοποιείτε δεν είναι WebAPK.
Ένας εκπρόσωπος της Google δήλωσε στο BleepingComputer ότι το Google Play Protect, ο προεπιλεγμένος σαρωτής malware του Android, ανιχνεύει το NGate:
«Με βάση τις τρέχουσες ανιχνεύσεις μας, δεν υπάρχουν εφαρμογές που να περιέχουν αυτό το malware στο Google Play».
«Οι χρήστες Android προστατεύονται αυτόματα από γνωστές εκδόσεις αυτού του malware μέσω του Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή στις συσκευές Android με τις Υπηρεσίες Google Play.
Το Google Play Protect μπορεί να προειδοποιεί τους χρήστες ή να μπλοκάρει εφαρμογές που είναι γνωστό ότι παρουσιάζουν κακόβουλη συμπεριφορά, ακόμη και όταν αυτές οι εφαρμογές προέρχονται από πηγές εκτός του Play.» είπε ο εκπρόσωπος Google.
Βίντεο
