Cyberbeveiligingsbedrijf ESET zei dat een nieuw ontdekte malware die op het Android-besturingssysteem draait, betaalkaartgegevens steelt met behulp van de NFC-lezer in het geïnfecteerde apparaat en deze naar de aanvallers verzendt. Het is een nieuwe technologie die de kaart effectief kloont zodat deze kan worden gebruikt bij geldautomaten of verkooppunten.
ESET-onderzoekers hebben de malware NGate genoemd omdat deze… NFC-gatewayeen open source-tool om NFC-verkeer vast te leggen, te analyseren of te wijzigen. Afkorting voor Communicatie op korte afstandNFC is een protocol waarmee twee apparaten draadloos over korte afstanden kunnen communiceren.
Nieuw aanvalsscenario op Android
“Dit is een nieuw aanvalsscenario voor Android, en de eerste keer dat we Android-malware met deze mogelijkheid in het wild zien worden gebruikt”, zegt ESET-onderzoeker Lukas Stefanko in een rapport. video “De ontdekking laat zien dat de NGate-malware NFC-gegevens van de kaart van een slachtoffer via een gecompromitteerd apparaat naar de smartphone van de aanvaller kan overbrengen, die vervolgens de kaart kan vervalsen en geld kan opnemen uit een geldautomaat.”
Lukasz Stefanko – NGate ontmaskerd.
De malware werd geïnstalleerd via traditionele phishing-scenario’s, waarbij de aanvaller berichten naar doelen stuurde en hen ertoe verleidde NGate te installeren vanaf kortstondige domeinen die zich voordoen als banken of officiële apps voor mobiel bankieren die beschikbaar zijn op Google Play. NGate vermomt zichzelf als een legitieme Target Bank-app en vraagt de gebruiker om de klant-ID, geboortedatum en bijbehorende kaartpincode van de bank in te voeren. De app blijft de gebruiker vragen om NFC in te schakelen en de kaart te scannen.
ESET zei dat het vanaf november het gebruik van NGate tegen drie Tsjechische banken heeft gedetecteerd en zes afzonderlijke NGate-applicaties heeft geïdentificeerd die tussen die tijd en maart van dit jaar in omloop waren. Sommige van de apps die in de latere maanden van de campagne werden gebruikt, kwamen in de vorm van Progressive Web Apps, wat een afkorting is van Progressieve webapplicatiesdat zoals donderdag werd gerapporteerd op Android- en iOS-apparaten kan worden geïnstalleerd, zelfs als de instellingen (verplicht op iOS) de installatie verhinderen van applicaties die beschikbaar zijn via niet-officiële bronnen.
ESET zei dat de meest waarschijnlijke reden waarom de NGate-campagne in maart eindigde, was… arrestatie De Tsjechische politie heeft een 22-jarige man gearresteerd, die volgens hen betrapt werd op het dragen van een masker terwijl hij geld opnam uit een geldautomaat in Praag. Onderzoekers zeiden dat de verdachte “een nieuwe manier heeft gecreëerd om mensen hun geld afhandig te maken” met behulp van een plan dat identiek leek aan het plan waarbij NGate betrokken was.
Stefanko en collega ESET-onderzoeker Jacob Osmani legden uit hoe de aanval werkte:
Uit de aankondiging van de Tsjechische politie bleek dat het aanvalsscenario begon toen de aanvallers sms-berichten naar potentiële slachtoffers stuurden over een belastingaangifte, inclusief een link naar een phishing-site die zich voordeed als banken. Deze links leiden waarschijnlijk naar kwaadaardige progressieve webapplicaties. Nadat het slachtoffer de app had geïnstalleerd en zijn of haar inloggegevens had ingevoerd, kreeg de aanvaller toegang tot het account van het slachtoffer. De aanvaller belde vervolgens het slachtoffer en deed zich voor als bankmedewerker. Het slachtoffer kreeg te horen dat zijn account was gehackt, waarschijnlijk vanwege het eerdere sms-bericht. De aanvaller vertelde feitelijk de waarheid: het account van het slachtoffer was gehackt, maar die waarheid leidde vervolgens tot een nieuwe leugen.
Om hun geld te beschermen, werd het slachtoffer gevraagd hun pincode te wijzigen en hun bankkaart te verifiëren met behulp van een mobiele app: NGate-malware. Er is een link verzonden om NGate te downloaden via sms. We vermoeden dat slachtoffers binnen de NGate-app hun oude pincode invoerden om een nieuwe pincode aan te maken en hun kaart op de achterkant van hun smartphone plaatsten om de wijziging te verifiëren of toe te passen.
Omdat de aanvaller al toegang had tot het gecompromitteerde account, kon hij de opnamelimieten wijzigen. Als de NFC-doorstuurmethode niet werkt, kan hij het geld gewoon overboeken naar een andere rekening. Het gebruik van NGate maakt het echter gemakkelijker voor een aanvaller om toegang te krijgen tot het geld van het slachtoffer zonder sporen achter te laten naar de bankrekening van de aanvaller. Een diagram van de aanvalsvolgorde wordt getoond in Figuur 6.
NGate of vergelijkbare apps kunnen in andere scenario’s worden gebruikt, zoals het klonen van smartcards die voor andere doeleinden worden gebruikt, aldus de onderzoekers. De aanval werkt door de unieke identificatie van de NFC-tag te kopiëren, afgekort als UID.
“Tijdens onze tests hebben we met succes de unieke gebruikersidentificatie van de MIFARE Classic 1K-tag overgedragen, die doorgaans wordt gebruikt voor kaartjes voor het openbaar vervoer, ID-badges, lidmaatschaps- of studentenkaarten en soortgelijke gebruiksscenario’s”, schreven de onderzoekers. “Met behulp van NFCGate is het mogelijk om een NFC-overdrachtsaanval uit te voeren om een NFC-code op één locatie te lezen en in realtime toegang te krijgen tot gebouwen op een andere locatie door de unieke gebruikers-ID te vervalsen, zoals weergegeven in figuur 7.”
Zoom in/ Figuur 7. Een Android-smartphone (rechts) die de UID van een extern NFC-token leest en deze naar een ander apparaat verzendt (links).
ESET
Kloneringsoperaties kunnen plaatsvinden in situaties waarin een aanvaller fysiek toegang kan krijgen tot een kaart of kortstondig een kaart kan lezen in handtassen, portemonnees, rugzakken of smartphonehoesjes die kaarten bevatten. Om dergelijke aanvallen uit te voeren en te simuleren heeft de aanvaller een aangepast en geroot Android-apparaat nodig. Telefoons die besmet waren met het NGate-virus hadden deze aandoening niet.
