Kibernetinio saugumo bendrovė ESET pranešė, kad naujai aptikta „Android“ operacinėje sistemoje veikianti kenkėjiška programa, naudodama užkrėstame įrenginyje esantį NFC skaitytuvą, vagia mokėjimo kortelės duomenis ir perduoda juos užpuolikams. Tai nauja technologija, kuri efektyviai klonuoja kortelę, kad ją būtų galima naudoti bankomatuose ar prekybos vietose.

ESET mokslininkai kenkėjišką programą pavadino NGate, nes joje yra… NFC vartaiatvirojo kodo įrankis, skirtas NFC srautui užfiksuoti, analizuoti arba keisti. Santrumpa už Artimo lauko komunikacijosNFC yra protokolas, leidžiantis dviem įrenginiams belaidžiu ryšiu susisiekti nedideliais atstumais.

Naujas atakos scenarijus „Android“.

„Tai naujas „Android“ atakos scenarijus ir pirmą kartą matėme, kad „Android“ kenkėjiška programa su šia galimybe naudojama laukinėje gamtoje“, – pranešime teigė ESET tyrėjas Lukaszas Stefanko. vaizdo įrašą „Atradimas rodo, kad NGate kenkėjiška programa gali perkelti NFC duomenis iš aukos kortelės per pažeistą įrenginį į užpuoliko išmanųjį telefoną, o šis gali apgauti kortelę ir išimti pinigus iš bankomato.

Kenkėjiška programa buvo įdiegta naudojant tradicinius sukčiavimo scenarijus, pvz., užpuolikas siunčia pranešimus taikiniams ir verčia juos įdiegti NGate iš trumpalaikių domenų, apsimetinėjančių bankais arba oficialiomis mobiliosios bankininkystės programėlėmis, pasiekiamomis „Google Play“. „NGate“ užmaskuoja save kaip teisėtą „Target Bank“ programą ir ragina vartotoją įvesti banko kliento ID, gimimo datą ir atitinkamą kortelės PIN kodą. Programėlė nuolat prašo vartotojo įjungti NFC ir nuskaityti kortelę.

ESET pranešė, kad nuo lapkričio mėn. aptiko NGate naudojimą prieš tris Čekijos bankus ir nustatė šešias atskiras NGate programas, kurios buvo apyvartoje nuo to laiko iki šių metų kovo mėnesio. Kai kurios programos, naudotos vėlesniais kampanijos mėnesiais, buvo progresyvios žiniatinklio programos, kurios trumpinys Progresyvios žiniatinklio programoskuris, kaip pranešama ketvirtadienį, gali būti įdiegtas „Android“ ir „iOS“ įrenginiuose net tada, kai nustatymai (privalomi „iOS“) neleidžia įdiegti iš neoficialių šaltinių pasiekiamų programų.

ESET teigė, kad labiausiai tikėtina priežastis, dėl kurios NGate kampanija baigėsi kovo mėnesį, buvo… areštas Čekijos policija sulaikė 22 metų vyrą, kuris, pasak jų, buvo sučiuptas dėvintis kaukę, kai iš bankomato Prahoje išėmė pinigus. Tyrėjai teigė, kad įtariamasis „sukūrė naują būdą išvilioti žmones iš jų pinigų“, naudodamas schemą, kuri atrodė identiška tai, kuri buvo susijusi su NGate.

Stefanko ir kitas ESET tyrėjas Jacobas Osmani paaiškino, kaip ataka veikė:

Čekijos policijos pranešimas atskleidė, kad atakos scenarijus prasidėjo, kai užpuolikai potencialioms aukoms siuntė SMS žinutes apie mokesčių deklaraciją, įskaitant nuorodą į sukčiavimo svetainę, kurioje apsimetinėjama bankais. Tikėtina, kad šios nuorodos veda į kenkėjiškas progresyvias žiniatinklio programas. Kai auka įdiegė programėlę ir įvedė savo kredencialus, užpuolikas gavo prieigą prie aukos paskyros. Tada užpuolikas paskambino nukentėjusiajam, apsimetęs banko darbuotoja. Nukentėjusysis buvo informuotas, kad jo paskyra buvo įsilaužta, greičiausiai dėl ankstesnės trumposios žinutės. Užpuolikas iš tikrųjų sakė tiesą – į aukos paskyrą buvo įsilaužta, tačiau ši tiesa vėliau privedė prie kito melo.

Siekiant apsaugoti savo pinigus, nukentėjusiojo buvo paprašyta pakeisti PIN kodą ir patikrinti banko kortelę naudojant mobiliąją programėlę – kenkėjišką programą „NGate“. Nuoroda atsisiųsti NGate buvo išsiųsta SMS žinute. Įtariame, kad programoje „NGate“ aukos įvedė savo seną PIN kodą, kad sukurtų naują, ir padėjo kortelę išmaniojo telefono gale, kad patikrintų arba pritaikytų pakeitimą.

Kadangi užpuolikas jau turėjo prieigą prie pažeistos paskyros, galėjo pakeisti išėmimo limitus. Jei NFC persiuntimo būdas neveikia, jis gali tiesiog pervesti pinigus į kitą sąskaitą. Tačiau naudojant NGate, užpuolikas lengviau pasiekia aukos lėšas, nepaliekant pėdsakų užpuoliko banko sąskaitoje. Atakos sekos schema parodyta 6 paveiksle.

Tyrėjai teigė, kad „NGate“ arba į ją panašios programos gali būti naudojamos ir kitais scenarijais, pavyzdžiui, klonuojant kai kurias išmaniąsias korteles, naudojamas kitiems tikslams. Ataka veiks nukopijuojant unikalų NFC žymos identifikatorių, sutrumpintą kaip UID.

„Atlikdami bandymus sėkmingai perkėlėme unikalų vartotojo identifikatorių iš MIFARE Classic 1K žymos, kuri paprastai naudojama viešojo transporto bilietams, asmens tapatybės ženkleliams, narystės ar studento kortelėms ir panašiems naudojimo atvejams“, – rašė mokslininkai. „Naudojant NFCGate, galima atlikti NFC perdavimo ataką, kad būtų galima nuskaityti NFC kodą vienoje vietoje ir realiuoju laiku gauti prieigą prie pastatų kitoje vietoje suklastojus jo unikalų vartotojo ID, kaip parodyta 7 paveiksle.

Klonavimo operacijos gali būti atliekamos situacijose, kai užpuolikas gali fiziškai pasiekti kortelę arba gali trumpam perskaityti kortelę, esančią rankinėse, piniginėse, kuprinėse ar išmaniųjų telefonų dėkluose, kuriuose yra kortelių. Kad galėtų vykdyti ir imituoti tokias atakas, užpuolikui reikia pasirinktinio ir įsišaknijusio „Android“ įrenginio. Telefonuose, kurie buvo užkrėsti NGate virusu, šios būklės nebuvo.