Fontos vagy nekem

2024. szeptember 17. 10:15 - Csizmazia Darab István [Rambo]

Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott crimeware kampányt, amely három cseh bank ügyfeleit vette célba. Az NGate-nek elnevezett Android alapú kártékony szoftver újszerű módon képes az áldozatok bankkártya adatait a támadók telefonjára továbbítani.

A támadók elsődleges célja az volt, hogy ATM-eken keresztül készpénzt vegyenek fel az áldozatok bankszámláiról. Ezt úgy érték el, hogy a fizikai bankkártyák megszerzett NFC-adatait a támadók készülékére továbbították az NGate malware segítségével.

Amennyiben ez a módszer esetleg sikertelen volt, a tetteseknek még arra is volt egy tartalék terve, hogy az áldozatok számláiról más bankszámlákra utaljanak át pénzösszegeket.

A 2010-es évek második felében új fizetési szabványként jelent meg a rádiófrekvenciás azonosításból (RFID) kifejlesztett közelmezős kommunikáció (Near Field Communication, NFC). Ezzel a technológiával az eredeti chipalapú bankkártyák még felhasználóbarátabbá váltak, mivel fizetési terminálokba és ATM-ekbe való behelyezés helyett itt a pénz küldéséhez elég egy NFC-kompatibilis fizetési eszköz közelébe tartani a kártyát. Szakértők korábban még soha nem találkoztak korábban ilyen típusú NFC átviteli technikával, mint ami most felbukkant.

A módszer egy NFCGate nevű eszközön alapul, amelyet a németországi Darmstadti Műszaki Egyetem hallgatói fejlesztettek ki NFC forgalom rögzítésére, elemzésére és módosítására ("Please do not use this application for malicious purposes."), innen nevezték el az új malware-családot NGate-nek.

Az áldozatokat azzal vették rá a rosszindulatú program telepítésére, hogy például elhitették velük, hogy éppen a bankjukkal kommunikálnak arról, hogy az eszközüket állítólag feltörték. Valójában azonban maguk a felhasználók fertőzték meg az Android-eszközeiket azzal, hogy előzőleg telepítettek egy kétes alkalmazást a csalóktól érkezett linkről, amit egy állítólagos adó-visszatérítésről szóló SMS-ben küldtek ki. Az NGate soha nem volt elérhető a hivatalos Google Play áruházban, csak spamek linkjében szerepelt.

Az NGate Android kártevő egy 2023. novembere óta Csehországban aktív támadó adathalász tevékenységéhez kapcsolódik. A szakértők ugyanakkor úgy vélik, hogy ezeket a gyanús tevékenységeket egy 2024. márciusában történt letartóztatás után felfüggesztették.

Az ESET először 2023. november végén észlelte a fenyegetést, amely neves cseh bankok ügyfeleit vette célba. A rosszindulatú programokat rövid ideig működő domaineken keresztül terjesztették, amelyek hiteles banki weboldalakat vagy a Google Play áruházban elérhető hivatalos mobilbanki alkalmazásokat imitáltak. Ezeket a hamis domaineket az ESET Brand Intelligence Service azonosította, és jelezte az ügyfelei felé.

Az elkövetők a progresszív webalkalmazások (PWA-k) lehetőségeit használták ki, majd később továbbfejlesztették stratégiájukat azzal, hogy a PWA-k egy kifinomultabb, WebAPK-ként ismert verzióját használták. A művelet finomhangolása végül az NGate malware alkalmazásával csúcsosodott ki.

2024. márciusában felfedezték, hogy az NGate Android malware ugyanazokon az oldalakon vált elérhetővé, amelyeket korábban adathalász kampányok során használtak rosszindulatú PWA-k és WebAPK-k terjesztésére. Telepítés után az NGate egy hamis adathalász webhelyet jelenített meg, amely a felhasználó banki adatait kérte, és azokat a támadó szerverére küldte.

Az adathalász funkciói mellett az NGate malware egy NFCGate nevű szoftvert is tartalmaz, amelyet arra használtak fel, hogy NFC adatokat továbbítson két eszköz – az áldozat és az elkövető készüléke – között. Az NGate arra is felkérte az áldozatokat, hogy adják meg érzékeny adataikat, például a banki ügyfél-azonosítójukat, a születési dátumukat és a bankkártyájuk PIN-kódját, továbbá javasolta nekik, hogy kapcsolják be az NFC funkciót okostelefonjukon. Ezt követően az áldozatoknak a bankkártyájukat az okostelefon hátuljához kellett helyezniük, amíg a kártékony alkalmazás fel nem ismerte a kártyát.

Az NGate malware által használt technikán kívül a támadó, ha fizikai hozzáféréssel rendelkezik a bankkártyákhoz, potenciálisan le is másolhatja azokat.

Ezt a technikát olyan elkövető alkalmazhatja, aki a közelben lévő kártyákat őrizetlenül hagyott táskákon, pénztárcákon, hátizsákokon vagy bankkártyák tárolására alkalmas okostelefon-tokokon keresztül próbálja meg illetéktelenül leolvasni, például nyilvános és zsúfolt helyeken. Azonban ez a forgatókönyv általában csak kis összegű érintés nélküli fizetéseket tett lehetővé a terminálokon.

Az ilyen összetett támadások elleni védekezéshez mindenkinek ismernie kell, hogyan léphet fel hatékonyan az adathalászat, a social engineering és az Android malware taktikák ellen. Ez magában foglalja, hogy naprakész védelmi megoldást futtassunk az okostelefonunkon, mindig ellenőrizzük a webhelyek URL címeit, csak a hivatalos áruházakból töltsünk le alkalmazásokat, soha ne adjuk ki a PIN-kódunkat, kapcsoljuk ki az NFC funkciót, amikor nincs rá szükségünk, illetve védőtokokat vagy hitelesítéssel védett virtuális kártyákat használjunk.

További részletes technikai információk az új NFC fenyegetésről angol nyelven ezen a linken olvashatók.

Szólj hozzá!
Címkék: pénz malware csalás átverés bankkártya számla trójai android adathalászat banki nfc welivesecurity.com

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása