Badanie to zostało opublikowane już jakiś czas temu, a dokładnie w sierpniu 2024. Nie mniej, jest to bardzo ważny temat. Badacze z ESET Research odkryli złośliwe oprogramowanie przekazujące dane NFC pochodzące z kart płatniczych ofiary poprzez złośliwą aplikację zainstalowaną na telefonie ofiary do urządzenia należącego do sprawcy, który czekał pod bankomatem.
Oprogramowanie zostało nazwane NGate a sama kampania była skierowana do klientów 3 czeskich banków. Według badaczy, grupa działa od listopada 2023 w Czechach a jej celem jest ułatwienie nieautoryzowanych wypłat z bankomatów. Na początek, należało zainfekować urządzenie ofiary, tak aby telefon był w stanie po odczytaniu danych poprzez NFC przekazać je do atakującego. W kolejnym etapie, atakujący posiadając już dane karty ofiary do użycia transakcji bankomatowej. Jeśli z jakichś powodów ta operacja nie powiedzie się, atakujący przelewa środki z kont ofiar na inne konta bankowe.
Jak wygląda atak?
Ofiara była informowana, że jej urządzenie zostało naruszone, po tym jak pobierała i instalowała złośliwe oprogramowanie i myśląc że komunikuje się ze swoim bankiem wykonywała wszystkie instrukcje atakujących. Aplikacja była dostarczana poprzez link, wysyłany SMSem z informacją o potencjalnym zwrocie podatku – a więc ofiara instalowała aplikację pomijając oficjalny sklep Google. Strony, do których prowadziły linki używały krótkotrwałych domen, podszywających się pod oficjalne strony banków lub aplikacji mobilnych:
Kopiować można nie tylko dane karty płątniczej ale również dane karty wejściowej do drzwi. Jak w praktyce przebiegał atak? Dowiecie się z tego krótkiego filmu:
Badacze ESET zidentyfikowali 6 różnych aplikacji przeznaczonych dla klientów trzech czeskich banków. Policja zatrzymała już 22 latka, który kradł pieniądze z bankomatów. Zatrzymany, posiadał przy sobie równowartość 6000 EUR, ale zdaniem czeskiej policji, te pieniądze pochodziły od 3 ostatnich ofiar, co może wskazywać, że całościowa kwota, za którą stoją atakujący jest znacznie wyższa.
Scenariusze ataku
Atakujący wykorzystywali mechanizm PWA (Progressive Web Apps) co na końcu skutkowało wdrożeniem złośliwego oprogramowania jakim jest NGate. Co ważne, urządzenie ofiary nie musiało być zrotowane. Zrootowane musiało być urządzenie atakującego które emuluje odebrany ruch NFC.
Technologia PWA pozwala użytkownikowi zainstalować aplikacje, która jest stroną internetową, za pośrednictwem przeglądarek, które tę funkcjonalność wspierają.
Instalację można uruchomić automatycznie za pomocą wyskakującego powiadomienia lub ręcznie wybierając Zainstaluj aplikację z menu przeglądarki. Po instalacji na ekranie głównym Androida pojawia się ikona aplikacji z małym logo przeglądarki. Na systemie Android obsługiwane przeglądarki to Chrome, Firefox, Edge i Opera. Aplikacja jest niczym innym jak tylko linkiem do strony internetowej i jest ona używana bezpośrednio w przeglądarce. Poniżej różnica pomiędzy ikonami tradycyjnej aplikacja I aplikacji PWA.
Aplikacje PWA wykorzystują technologie, które służą do pisania stron internetowych HTML, CSS, JavaScript. Są kompatybilne i elastyczne, ponieważ nie są zależne od systemu operacyjnego. Nie wymagają też instalacji niczego ze sklepu Google. A więc na każdym urządzeniu czy to laptop, komputer stacjonarny, tablet czy smartfon można zainstalować o tę samą aplikacje PWA. Niestety atakujący wykorzystują to do podszywania się pod inne, legalne aplikacje na przykład bankowe.
Z czasem atakujący udoskonalili scenariusz ataku stosując bardziej zaawansowane typ PWA znany jako WebAPK
Są to aplikacje automatycznie generowane przez przeglądarkę podczas dodawania PWA do głównego ekranu. Używają one technologii integracji PWA jako natywna aplikacja Androida. Te aplikacje nie posiadają już na swoje ikonie loga przeglądarki, a więc łatwiej tutaj o pomyłkę i postrzeganie fałszywej aplikacji jako prawdziwa.
WebAPK wymaga ręcznej instalacji natomiast Użytkownik nie jest proszony o udzielenie pozwolenia na instalację aplikacji z nieznanych źródeł z tego powodu, że nie jest to zwykła aplikacja. A zatem użytkownik może nawet nie wiedzieć, że instaluje złośliwą aplikację. Po instalacji i uruchomieniu złośliwej aplikacji jesteśmy proszeni o podanie poświadczeń do banku oraz o uruchomienie funkcji NFC na telefonie. Oprogramowanie to wykorzystuje narzędzie do przekazywania danych NFC pomiędzy urządzeniem ofiary a urządzeniem atakującego. Przesyłanie to działa pomiędzy urządzeń z Androidem i zostało opracowane przez studentów na Politechnice w Darmstadt i jest dostępne publicznie na githubie.
Aby dane NFC zostały przekazane do atakującego, użytkownik jest proszony o umieszczenie karty płatniczej z tyłu telefonu aż do czasu rozpoznania karty przez aplikację. W międzyczasie odczytane dane są wysyłane na urządzenie atakującego co pozwala na podszywanie się pod kartę ofiary na innym urządzeniu. To oznacza, że atakujący może używać teraz tych danych na swoim urządzeniu w celu dokonywania płatności czy wypłacania pieniędzy z bankomatów poprzez protokół NFC.
Po instalacji aplikacji i przekazaniu danych uwierzytelniających oraz przyłożeniu karty bankomatowej, atakujący dzwonił do ofiary z informacją że to konto zostało naruszone prawdopodobnie z powodu wcześniejszej wiadomości SMS – i to akurat jest prawdą, która została wykorzystana do kontynuacji ataku, Ofiara w kolejnym kroku została poproszona o zmianę kodu PIN i weryfikację karty bankowej za pomocą złośliwej aplikacji.
Atakujący wykorzystują coraz to bardziej wyrafinowane techniki, aby zaatakować swoje ofiary i to wymaga na nas większej czujności. Życie w pędzie, wykorzystanie inżynierii społecznej powodują, że nawet osoby zajmujące się cyberbezpieczeństwem mogą być podatne na podobne ataki. To wymaga od nas zachowania ostrożności i trzymanie się kilku z pozoru prostych zasad:
- Weryfikuj poprawność adresu strony www na której się logujesz, najprościej dodać sobie będzie adresy stron banków czy portali społecznościowych do zakładek tak aby mieć pewność, że zawsze wchodzisz na poprawną stronę
- Aplikacje pobierają tylko z oficjalnych sklepów Google Play albo App Store. Nie instaluj niczego spoza tych sklepów
- Wyłącz funkcję z których nie korzystasz na przykład NFC czy Bluetooth
- Jeśli dostajesz telefon z banku z informacją o naruszeniu twojego konta bankowego rozłącz się i oddzwoń do banku samodzielnie
- Włącz uwierzytelnianie wieloskładnikowe za pomocą klucza sprzętowego, dzięki czemu będąc na fałszywej stronie nie zalogujesz się na konto. Na blogu znajdziesz kilka poradników, jak skonfigurować klucz Yubikey na kilku znanych portalach. Znajdziesz również inny wpis, wyjaśniający jak działa klucz sprzętowy YubiKey.
Źródło: www.welivesecurity.com
