Android kötü amaçlı yazılımı, daha önce görülmemiş bir teknoloji kullanarak ödeme kartı verilerini çalıyor

Siber güvenlik şirketi ESET, Android işletim sistemi üzerinde çalışan yeni keşfedilen bir kötü amaçlı yazılımın, bulaştığı cihazdaki NFC okuyucuyu kullanarak ödeme kartı verilerini çaldığını ve bunu saldırganlara aktardığını, kartın kullanılabilmesi için etkili bir şekilde klonlayan yeni bir teknoloji olduğunu söyledi. ATM’lerde veya satış noktalarında.

ESET araştırmacıları kötü amaçlı yazılıma NGate adını verdi çünkü içerdiği şeyler… NFC ağ geçidiNFC trafiğini yakalamak, analiz etmek veya değiştirmek için açık kaynaklı bir araç. Kısaltması Yakın menzilli iletişimNFC, iki cihazın kısa mesafelerde kablosuz olarak iletişim kurmasını sağlayan bir protokoldür.

Android’de yeni saldırı senaryosu

ESET araştırmacısı Lukas Stefanko bir raporda, “Bu, Android için yeni bir saldırı senaryosu ve ilk kez bu özelliğe sahip Android kötü amaçlı yazılımlarının yaygın olarak kullanıldığını görüyoruz.” dedi. video “Bu keşif, NGate kötü amaçlı yazılımının, kurbanın kartındaki NFC verilerini ele geçirilmiş bir cihaz aracılığıyla saldırganın akıllı telefonuna aktarabildiğini, saldırganın daha sonra kartı taklit edip ATM’den para çekebildiğini gösteriyor.”

Kötü amaçlı yazılım, saldırganın hedeflere mesaj göndermesi ve onları Google Play’de bulunan bankaların veya resmi mobil bankacılık uygulamalarının kimliğine bürünen kısa ömürlü alanlardan NGate’i yüklemeleri için kandırması gibi geleneksel kimlik avı senaryoları yoluyla yüklendi. NGate, kendisini meşru bir Hedef Banka uygulaması olarak gizler ve kullanıcıdan bankanın müşteri kimliğini, doğum tarihini ve ilgili kart PIN’ini girmesini ister. Uygulama, kullanıcıdan sürekli olarak NFC’yi açmasını ve kartı taramasını istiyor.

ESET, Kasım ayından itibaren NGate’in üç Çek bankasına karşı kullanıldığını tespit ettiğini ve o dönemden bu yılın Mart ayına kadar dolaşımda olan altı ayrı NGate uygulamasının tespit edildiğini söyledi. Kampanyanın ilerleyen aylarında kullanılan uygulamalardan bazıları, Progresif Web Uygulamaları biçiminde geldi. Aşamalı web uygulamalarıPerşembe günü bildirildiği üzere, ayarlar (iOS’ta zorunlu) resmi olmayan kaynaklardan sağlanan uygulamaların yüklenmesini engellese bile Android ve iOS cihazlara yüklenebiliyor.

ESET, NGate kampanyasının Mart ayında sona ermesinin en muhtemel sebebinin… tutuklamak Çek polisi, Prag’da bir ATM’den para çekerken maske takarken yakalandığını söylediği 22 yaşındaki bir adamı tutukladı. Müfettişler, şüphelinin, NGate’in dahil olduğu planla aynı görünen bir plan kullanarak “insanların paralarını dolandırmanın yeni bir yolunu yarattığını” söyledi.

Stefanko ve ESET araştırmacısı Jacob Osmani, saldırının nasıl çalıştığını şöyle açıkladı:

Çek polisinin duyurusu, saldırı senaryosunun, saldırganların potansiyel kurbanlara, bankaların kimliğine bürünen bir kimlik avı sitesine bağlantı da dahil olmak üzere vergi beyannamesi hakkında SMS mesajları göndermesiyle başladığını ortaya çıkardı. Bu bağlantıların kötü amaçlı progresif web uygulamalarına yol açması muhtemeldir. Kurban uygulamayı yükleyip kimlik bilgilerini girdikten sonra saldırgan, kurbanın hesabına erişim sağladı. Saldırgan daha sonra banka çalışanı gibi davranarak kurbanı aradı. Mağdura, muhtemelen önceki kısa mesaj nedeniyle hesabının saldırıya uğradığı bilgisi verildi. Saldırgan aslında doğruyu söylüyordu; kurbanın hesabı hacklenmişti ancak bu gerçek daha sonra başka bir yalana yol açtı.

Paralarını korumak için kurbandan PIN’ini değiştirmesi ve banka kartını bir mobil uygulama olan NGate kötü amaçlı yazılımını kullanarak doğrulaması istendi. NGate’i indirmek için bir bağlantı SMS yoluyla gönderildi. Kurbanların, NGate uygulamasında yeni bir PIN oluşturmak için eski PIN’lerini girip, değişikliği doğrulamak veya uygulamak için kartlarını akıllı telefonlarının arkasına yerleştirdiklerinden şüpheleniyoruz.

Saldırganın ele geçirilen hesaba zaten erişimi olduğundan para çekme limitlerini değiştirebilir. NFC yönlendirme yöntemi işe yaramazsa parayı başka bir hesaba aktarabilir. Ancak NGate’i kullanmak, saldırganın kurbanın fonlarına, saldırganın banka hesabında iz bırakmadan erişmesini kolaylaştırır. Saldırı dizisinin diyagramı Şekil 6’da gösterilmektedir.

Araştırmacılar, NGate veya ona benzer uygulamaların, başka amaçlarla kullanılan bazı akıllı kartların klonlanması gibi başka senaryolarda kullanılabileceğini söyledi. Saldırı, NFC etiketinin UID olarak kısaltılan benzersiz tanımlayıcısının kopyalanmasıyla gerçekleştirilecek.

Araştırmacılar, “Testlerimiz sırasında, genellikle toplu taşıma biletleri, kimlik kartları, üyelik veya öğrenci kartları ve benzeri kullanım durumları için kullanılan MIFARE Classic 1K etiketindeki benzersiz kullanıcı tanımlayıcısını başarıyla aktardık” diye yazdı. “NFCGate’i kullanarak, Şekil 7’de gösterildiği gibi, bir konumdaki NFC kodunu okumak ve gerçek zamanlı olarak, benzersiz kullanıcı kimliğini taklit ederek farklı bir konumdaki binalara erişim sağlamak için bir NFC transfer saldırısı gerçekleştirmek mümkündür.”

Saldırganın fiziksel olarak bir karta erişebildiği veya el çantalarında, cüzdanlarda, sırt çantalarında veya kart içeren akıllı telefon kılıflarında bulunan bir kartı kısaca okuyabildiği durumlarda klonlama işlemleri gerçekleşebilir. Bu tür saldırıları gerçekleştirmek ve simüle etmek için saldırganın özel ve köklü bir Android cihazına ihtiyacı vardır. NGate virüsü bulaşan telefonlarda bu durum yoktu.