Андроид под контролом: Успон злонамерног софтвера за клонирање NFC-а

  • Нови Андроид злонамерни софтвер користи НФЦ технологију за клонирање података банковних картица и извршавање превара.
  • Напад комбинује друштвени инжењеринг, фишинг и злонамерне апликације како би преварио жртву да приступи својим акредитивима.
  • NGate и SuperCard X су примери напредних вируса који краду податке, а да их већина антивирусних програма не открије.
Mayka JimenezАжурирано на

КСНУМКС Минутос

Андроид под нападом: NFC малвер

Последњих месеци, безбедност у Андроид уређаји је потресен појавом претњи које користе NFC (Near Field Communication) технологију за извршење превара какве никада раније нису виђене на овом нивоу. Широко распрострањена употреба бесконтактних система плаћања, заједно са ширењем банкарских апликација и све већим ослањањем на мобилне телефоне за све врсте личних трансакција, Они су били савршено легло за сајбер криминалце да примене софистицирани злонамерни софтвер способан за клонирање кредитних и дебитних картица са забрињавајућом ефикасношћу.. Све више корисника се пита да ли је њихов телефон заиста безбедан, а одговор је вероватно забрињавајућији него што замишљају.

Злонамерни софтвер NGate и SuperCard X: нови дигитални зликовци

Како злонамерни софтвер клонира NFC картице

Заједница за сајбер безбедност годинама упозорава на потенцијалне опасности NFC функционалности у мобилним телефонима. Међутим, појава NGate-а и SuperCard X-а показала је да ова упозорења нису била преувеличана. Ови злонамерни софтвери представљају логичну еволуцију класичног фишинга, али са нивоом софистицираности какав никада раније није виђен: нису ограничени на крађу акредитива, већ су способни да... Снимите податке о банковним картицама користећи сопствени NFC телефон и пренесите их у реалном времену на уређај криминалца..

NGate су крајем 2023. године открили стручњаци из фирме ESET, након низа напада који су првенствено погодили клијенте банака у Чешкој Републици. Са своје стране, SuperCard X се истиче по својој природи „малвера као услуге“ (MaaS), односно платформи која омогућава различитим сајбер криминалцима да примењују нападе на персонализован начин и прилагођене сваком региону, а Италија је једна од земаља које су недавно погођене.

Обе претње делују на сличан начин, али са нијансама у њиховом распоређивању. Они користе фишинг канале како би преварили кориснике да инсталирају злонамерне апликације прикривене као услуге њихове банке.. Покретањем ових апликација, жртва на крају открива своје банкарске податке, одобрава приступ NFC модулу свог уређаја и несвесно омогућава нападачима да клонирају њихове картице као да су физички присутни.

По први пут, ове методе не захтевају да корисник има рутован телефон (са напредним администраторским дозволама), што знатно повећава потенцијални број погођених особа. Користећи технике социјалног инжењеринга, нападачи могу добити ПИН корисника, датум рођења и друге важне податке и користити те информације за подизање новца са банкомата или бесконтактну куповину у продавницама.

Како се дешава напад NFC злонамерног софтвера на Андроиду?

НФЦ

Софистицираност откривених кампања лежи у комбинација традиционалних тактика и веома иновативних техника што је, по први пут, довело до стварног сценарија ризика за кориснике који нормално користе своје мобилне телефоне. У наставку ћемо вам показати главне фазе напада:

  • Привлачење путем фишинга или социјалног инжењерингаСајбер криминалци шаљу СМС, WhatsApp или чак имејл поруке које се лажно представљају као банке. Упозоравају вас на сумњиве активности или потребу за верификацијом трансакције, подстичући жртву да позове лажни број или кликне на линк. Поруке се често односе на проблеме са рачунима или повраћај пореза, користећи контексте из стварног живота.
  • Телефонска кукаАко жртва позове, сачекаће је лажни оператер који се претвара да је из банкарске службе. Овај „агент“ користи трикове убеђивања да би извукао осетљиве информације (број картице, ПИН итд.) и предлаже жртви да уклони ограничења потрошње из апликације банке како би „решила проблем“.
  • Преузимање злонамерне апликацијеЗлочинац убеђује корисника да инсталира апликацију, наводно ради безбедности или верификације (као што је „Reader“), која је заправо злонамерни софтвер (SuperCard X или NGate). Преузимање се може обавити путем линкова у СМС-овима, имејловима, фишинг веб-сајтовима или обавештењима прегледача (на пример, коришћењем PWA-ова).
  • NFC приступ и крађа податакаЈедном инсталирана, апликација захтева дозволу за приступ NFC-у. Оператор (преварант) тражи од жртве да принесе своју физичку банковну картицу телефону како би је „верификовао“. У том тренутку, апликација чита податке са NFC чипа и шаље их на сервер или уређај нападача.
  • Репликација и преварна употреба картицеСа украденим подацима, криминалац користи алате попут Тапера да би емулирао картицу на другом Андроид уређају, што му омогућава бесконтактно плаћање у продавницама и подизање готовине са банкомата компатибилних са NFC-ом, обично за мале износе које контроле против превара не откривају.

Највише забрињава у вези са овим процесом то што Антивирусни програми и даље не откривају ове претње у већини случајева.. На пример, SuperCard X се није појавио (у време првих извештаја) ни у једном VirusTotal мотору, а Google Play Protect, иако се сматра баријером, показао се недовољним у неким напредним случајевима.

Улога NFCGate технологије и њен однос према нападима

Првобитно је алат NFCGate креиран на Технолошком универзитету у Дармштату као пројекат отвореног кода за програмере и истраживаче за снимање, анализу и пренос NFC саобраћаја између уређаја. Иако је његова примена била легитимна, сајбер криминалци су видели потенцијал да искористити NFCGate и креирати злонамерне варијанте попут NGate-а, прилагођавајући његову функционалност за криминалне сврхе.

NFCGate вам омогућава да снимите комуникацију између картице и терминала, пренесете је преко посредничког сервера и емулирате је на другом Андроид уређају..

Овај процес, технички познат као Напад на NFC релеј, ослања се на архитектуру и дозволе Андроид система, што омогућава коришћење чак и са телефона без рутовања. Подаци могу путовати са зараженог телефона до терминала нападача у реалном времену, омогућавајући бесконтактна плаћања и даљинско подизање готовине без знања власника картице.

Откривени сценарији напада: од фишинга до физичког клонирања NFC ознака

Истраживање компаније ESET и других стручњака открило је низ сценарија у којима нападачи могу да искористе NFC технологију, а не само да краду банкарске податке:

  • Кампање фишинга великих размераСлањем масовних СМС порука које садрже линкове ка злонамерним веб локацијама које имитирају праве банкарске апликације, нападачи варају жртве да инсталирају PWA (прогресивне веб апликације) или WebAPK-ове дизајниране за крађу акредитива и отварање пута за NGate инфекције.
  • Клонирање NFC картица и приступних токенаЗлонамерни софтвер није намењен само банковним картицама. Такође може украсти UID (јединствени идентификатор) NFC ознака које се користе за приступ зградама, јавном превозу или ограниченим подручјима. Нападач би могао да емулира идентификатор и добије физички приступ заштићеним локацијама.
  • Мала бесконтактна плаћањаУ ситуацијама са великим прометом (превоз, тржни центри, догађаји), криминалци могу да читају картице кроз торбе или кутије, затим клонирају информације и извршавају плаћања мале вредности, прилагођавајући се ограничењима издаваоца.
  • Крађа дигиталних картицаМогуће је пресрести NFC сигнале из апликација за дигиталне новчанике (Google Wallet, Apple Wallet), иако су безбедносне мере које су увели ови системи (биометријска верификација или лозинка пре сваког плаћања) зауставиле ове нападе на најсавременијим мобилним телефонима.

Ови случајеви показују да претња није ограничена само на одређене банке, па чак ни на традиционалне картице. Било који систем који користи NFC је потенцијално рањив на добро осмишљен напад.

Како се малвер дистрибуира: PWA, WebAPK-ови и замка легитимитета

Једна од великих иновација у дистрибуцији злонамерног софтвера повезаног са NFC-ом је злоупотреба PWA (прогресивних веб апликација) и WebAPK-ова. За разлику од традиционалних апликација, које захтевају инсталацију са Google Play-а и захтевају верификацију, PWA-ови омогућавају корисницима да инсталирају апликацију из свог прегледача и да се она појави на њиховој мобилној радној површини као да је легитимна. Сајбер криминалци прилагођавају иконе и имена како би савршено имитирали оне званичних банкарских апликација, па чак користе и обавештења или банере који вас позивају да „заштитите свој налог“ или „ажурирате апликацију“.

Неслутећи корисник инсталира PWA или WebAPK са лажне везе, чиме покреће процес инфекције, обично без икаквих чудних дозвола или сумњивих упозорења.. Следећи корак ће бити крађа акредитива и инсталирање кључног малвера, који ће бити одговоран за отмицу NFC функције.

Ову обману погоршава лажна перцепција безбедности коју доживљавају они који преузимају апликације само „из продавнице“, игноришући чињеницу да модерни прегледачи омогућавају инсталирање веб апликација само једним кликом и без икакве рецензије од стране Гугла или било ког другог поузданог ентитета.

Улога социјалног инжењеринга: кључ успеха ових напада

Обавештајни подаци ових напада леже у Способност криминалаца да психолошки манипулишу корисником и претворе га или њу у несвесног саучесника у сопственој крађи.. Позиви и поруке које се представљају као банке, притисак да се хитно делује („ваш налог је хакован, позовите нас одмах“), веб странице професионалног изгледа и наратив о понуди „веће безбедности“ су све елементи осмишљени да наведу жртву да смањи опрез.

Основни елемент је занимљивост телефонског позива. Иако многе дигиталне преваре остају у самом phishing, укључивање телефонског контакта са оператерима који се представљају као запослени у банци је изузетно ефикасно за издвојити осетљиве информације, као што су ПИН, датум рођења или број клијента, и појачати кредибилитет лажне приче.

У неким кампањама, након крађе акредитива, нападачи убеђују жртву да онемогући ограничења потрошње и активира NFC функцију под разним изговорима, чиме отварају пут клонирању картице.

Где се дешавају ови напади и какав је њихов обим?

Иако први детаљни извештаји и анализе долазе из Централне Европе (посебно из Чешке Републике и Италије), Стручњаци се слажу да се метода може извести у било коју земљу где су бесконтактно плаћање и финансијске апликације широко примењене.. Природа платформи попут SuperCard X која се заснива на „малверу као услузи“ значи да се оне могу прилагодити прописима, језику и локалним властима било ког региона, уз само неколико кликова и без опсежног техничког знања.

У Шпанији су главне агенције за сајбер безбедност већ издале упозорења о претњи и, иако још увек није откривена масовна кампања, сви услови су испуњени да се напад прошири у сваком тренутку. Документоване су варијанте које имитирају националне и регионалне банке, прилагођавајући фишинг поруке локалним обичајима и догађајима (нпр. повраћај пореза на доходак, кампање замене картица итд.).

Овај тренд је убрзан популаризацијом бесконтактних плаћања, система мобилног банкарства и пандемијом, која је приморала хиљаде људи да брзо пређу на дигитално плаћање. Граница између физичког и дигиталног света никада није била толико замагљена, нити толико изложена..

Техничка анализа: Како функционише NGate и шта га чини тако опасним?

Истраживање које су објавили стручњаци и други стручњаци открива да се NGate дистрибуира у облику прилагођеног APK-а, обично под именима и логотипима који имитирају стварне банкарске апликације (нпр. „SmartKlic“, „rb_klic“, „george_klic“), и да се инфекција дешава ван Google Play-а, преко лажних сајтова.

Када се инсталира, злонамерни софтвер покреће WebView (прегледач уграђен у апликацију) како би приказао фишинг сајт и украо акредитиве.. Затим захтева кључне дозволе за праћење NFC статуса, добијање података са уређаја и покретање NFC преноса саобраћаја ако жртва постави картицу близу телефона. Злонамерни софтвер може да промени сервер којем шаље податке на основу примљеног одговора, што отежава аутоматизованим системима да га открију и блокирају.

Технички индикатори: узорци, домени и детекције

Анализа прикупљених датотека идентификовала је неколико кључних индикатора NGate-а, укључујући следећа имена пакета и дистрибуиране APK датотеке:

  • csob_smart_klic.apk (разне верзије)
  • георге_клиц.апк, георге_клиц-0304.апк
  • rb_klic.apk

Све ове апликације деле јединствене сертификате и параметре који их разликују од легитимних апликација. Домени који се користе за њихову дистрибуцију често имитирају имена банака, као што су „raiffeisen-czeu“ или „app.mobil-csob-czeu“, или користе поддомене на бесплатним сервисима и cloud проксијима како би заобишли филтере.

Што се тиче сервера и повезаних IP адреса, неколико је идентификовано као да припадају међународним хостинг провајдерима, као и сервери за командовање и контролу које хостују украјински и европски хостинг сервиси. Коришћење Cloudflare-а као посредничког проксија отежава лоцирање и искључивање ових ресурса.

Зашто га антивируси не детектују?

Један од фактора који чини NGate и SuperCard X посебно опасним је тај што Његов код стално мутира и користи технике замагљивања како би остао непримећен. против безбедносног софтвера. Штавише, пошто су њихове методе инфекције засноване на друштвеном инжењерингу и преузимању неовлашћених APK датотека, они избегавају контролу Гоогле Плаи Протецт и друге аутоматске системе за валидацију апликација.

У време писања овог текста, већина антивирусних програма или не препознаје ове претње или их само делимично препознаје након пријема узорака, остављајући кориснике беспомоћним од почетне инфекције. Само редовна ажурирања базе података и јачање хеуристичких филтера за детекцију могу преокренути ову ситуацију у будућности.

Будућност NFC напада и пораст злонамерног софтвера као услуге

Модел злонамерни софтвер као услуга (MaaS), који омогућава сваком сајбер криминалцу да ангажује платформе попут SuperCard X за примену прилагођених напада, чини претњу још глобалнијом. Програмери ових сервиса нуде техничку помоћ, канале за подршку на Телеграму и стална ажурирања како би заобишли одбрану, демократизујући приступ напредним алатима за превару.

Истраживачи су пронашли форуме и канале који промовишу продају верзија прилагођених различитим банкама, регионима и језицима, као и пакете који укључују и злонамерни софтвер и комплементарне апликације (на пример, апликацију Tapper за емулацију картица).

Како се заштитити од NFC злонамерног софтвера и ових нових метода крађе?

С обзиром на софистицираност ових напада, неопходно је бити изузетно опрезан, како на индивидуалном нивоу, тако и са пословне или институционалне перспективе. Најрелевантније препоруке, према стручњацима и организацијама за сајбер безбедност, укључују:

  • Увек проверавајте аутентичност примљених порука и позива, посебно ако вас позивају да преузмете апликације, унесете акредитиве или хитно реагујете.
  • Не инсталирајте апликације са линкова примљених путем СМС-а, WhatsApp-а или имејла.. Увек идите на званичну Google Play продавницу за сва преузимања и будите сумњичави према апликацијама које обећавају „додатну безбедност“ или верификацију налога.
  • Детаљно прегледајте дозволе које захтева свака апликација, посебно оне које се односе на приступ NFC-у и личним подацима..
  • Одржавајте оперативни систем и безбедносни софтвер ажурним, као и активирање напредних функција заштите које откривају необично понашање.
  • Онемогућите NFC функцију када је не користите, или користите футроле и новчанике заштићене РФИД-ом како бисте отежали случајан или злонамеран приступ картици.
  • Никада не делите свој ПИН или друге осетљиве информације преко телефона или на веб обрасцима, осим ако нисте апсолутно сигурни у идентитет друге особе..
  • Користите виртуелне картице и системе за биометријску аутентификацију у апликацијама за дигитални новчаник, кад год је то могуће..

Многе банке су почеле да појачавају своје контроле, захтевајући додатну верификацију за велика плаћања или промене ПИН-а, али корисник остаје прва и последња карика у безбедносном ланцу.

Значај обуке и континуираног праћења

Борба против злонамерног софтвера се развија сваке недеље, а корисници морају да одржавају критички став према било којој новој комуникацији или апликацији, чак и ако изгледа да долази из поузданих извора. Основна обука за сајбер безбедност је сада важнија него икад: знање како идентификовати сумњиве обрасце, разумевање како дозволе функционишу и препознавање знакова напада може направити разлику између инфекције и заштите.

Штавише, неопходно је пријавити све сумњиве инциденте надлежној банци или институцији, као и надлежним органима за сајбер безбедност. Ово може помоћи у спречавању ширења нових варијанти злонамерног софтвера и спречити да други корисници буду погођени.

Пораст мобилних плаћања и дигитализација свакодневног живота су незаустављиви, али не би требало да доведу до повећаног ризика ако се примене праве мере и одржи будност.

Важно је бити свестан да ове напредне претње, попут NGate-а и SuperCard X-а, означавају нову еру у којој се преваре могу вршити без физичког контакта, под условом да криминалци имају приступ зараженом уређају и одговарајући социјални инжењеринг. Превенција, континуирана ажурирања и обука о сајбер безбедности су кључни за смањење ризика и заштиту наших финансијских и личних ресурса.