Android in Check: Ang Pagtaas ng NFC-Clone Malware

  • Gumagamit ang bagong Android malware ng teknolohiya ng NFC para i-clone ang data ng bank card at gumawa ng panloloko.
  • Pinagsasama ng pag-atake ang social engineering, phishing, at mga nakakahamak na app para linlangin ang biktima na i-access ang kanilang mga kredensyal.
  • Ang NGate at SuperCard X ay mga halimbawa ng mga advanced na virus na nagnanakaw ng data nang hindi natukoy ng karamihan sa mga antivirus program.
Mayka Jimenez

14 Minutos

Inaatake ang Android: NFC malware

Nitong mga nakaraang buwan, ang seguridad sa Mga aparatong Android ay nayanig sa paglitaw ng mga banta na sinasamantala ang teknolohiya ng NFC (Near Field Communication) upang magsagawa ng mga pandaraya na hindi pa nakikita sa antas na ito. Ang malawakang paggamit ng mga contactless na sistema ng pagbabayad, kasama ang paglaganap ng mga banking app at ang lumalagong pag-asa sa mga mobile phone para sa lahat ng uri ng mga personal na transaksyon, Sila ang naging perpektong lugar ng pag-aanak para sa mga cybercriminal na mag-deploy ng sopistikadong malware na may kakayahang mag-clone ng mga credit at debit card nang may nakababahalang kahusayan.. Parami nang parami ang mga user ang nag-iisip kung talagang ligtas ang kanilang telepono, at ang sagot ay malamang na mas nakakabahala kaysa sa inaakala nila.

NGate at SuperCard X malware: ang mga bagong digital na kontrabida

Paano kino-clone ng malware ang mga NFC card

Ang komunidad ng cybersecurity ay nagbabala sa loob ng maraming taon tungkol sa mga potensyal na panganib ng paggana ng NFC sa mga mobile phone. Gayunpaman, ang paglitaw ng NGate at SuperCard X ay nagpakita na ang mga babalang ito ay hindi pinalaki. Kinakatawan ng malware na ito ang lohikal na ebolusyon ng klasikong phishing, ngunit may antas ng pagiging sopistikado na hindi pa nakikita: hindi limitado ang mga ito sa pagnanakaw ng mga kredensyal, ngunit may kakayahang Kunin ang data ng bank card gamit ang sariling NFC ng telepono at ipadala ito sa real time sa device ng isang kriminal..

Natukoy ang NGate noong huling bahagi ng 2023 ng mga eksperto mula sa firm na ESET, kasunod ng serye ng mga pag-atake na pangunahing nakaapekto sa mga customer ng bangko sa Czech Republic. Sa bahagi nito, namumukod-tangi ang SuperCard X para sa kalikasan nitong 'malware as a service' (MaaS), iyon ay, isang platform na nagbibigay-daan sa iba't ibang cybercriminal na mag-deploy ng mga pag-atake sa isang personalized na paraan at inangkop sa bawat rehiyon, kung saan ang Italy ay isa sa mga pinakakamakailang apektadong bansa.

Ang parehong mga banta ay kumikilos sa parehong paraan, ngunit may mga nuances sa kanilang pag-deploy. Gumagamit sila ng mga phishing channel para linlangin ang mga user na mag-install ng mga nakakahamak na app na itinago bilang mga serbisyo mula sa kanilang bangko.. Sa pamamagitan ng pagpapatakbo ng mga app na ito, ang biktima ay nagtatapos sa paglalantad ng kanilang impormasyon sa pagbabangko, pagbibigay ng access sa NFC module ng kanilang device at hindi sinasadyang pinapayagan ang mga umaatake na i-clone ang kanilang mga card na parang pisikal na naroroon sila.

Sa unang pagkakataon, ang mga pamamaraang ito ay hindi nangangailangan ng user na magkaroon ng rooted na telepono (na may mga advanced na pahintulot ng administrator), na lubos na nagpapataas sa potensyal na bilang ng mga apektadong indibidwal. Gamit ang mga diskarte sa social engineering, maaaring makuha ng mga attacker ang PIN ng user, petsa ng kapanganakan, at iba pang kritikal na data at gamitin ang impormasyong iyon upang mag-withdraw ng pera mula sa mga ATM o gumawa ng mga contactless na pagbili sa mga tindahan.

Paano nangyayari ang pag-atake ng malware ng NFC sa Android?

NFC

Ang pagiging sopistikado ng mga natukoy na kampanya ay nakasalalay sa kumbinasyon ng mga tradisyunal na taktika at lubos na makabagong pamamaraan na, sa kauna-unahang pagkakataon, ay nagdulot ng tunay na senaryo ng peligro para sa mga user na may normal na paggamit ng kanilang mga mobile phone. Sa ibaba, ipinapakita namin sa iyo ang mga pangunahing yugto ng pag-atake:

  • Pag-akit sa pamamagitan ng phishing o social engineeringNagpapadala ang mga cybercriminal ng SMS, WhatsApp, o kahit na mga email na mensahe na nagpapanggap bilang mga bangko. Inaalerto ka nila sa kahina-hinalang aktibidad o ang pangangailangang i-verify ang isang transaksyon, na hinihikayat ang biktima na tumawag sa isang pekeng numero o mag-click sa isang link. Ang mga mensahe ay madalas na tumutukoy sa mga isyu sa account o mga refund ng buwis, na sinasamantala ang mga konteksto sa totoong buhay.
  • Ang kawit ng telepono: Kung tumawag ang biktima, sasalubungin sila ng isang pekeng operator na nagpapanggap na mula sa suporta sa bangko. Gumagamit ang "ahente" na ito ng mga trick sa panghihikayat upang kunin ang sensitibong impormasyon (numero ng card, PIN, atbp.) at iminumungkahi na alisin ng biktima ang mga limitasyon sa paggastos mula sa app ng bangko upang "malutas ang problema."
  • Dina-download ang nakakahamak na application: Kinumbinsi ng kriminal ang user na mag-install ng app, para sa seguridad o pag-verify (gaya ng “Reader”), na talagang malware (SuperCard X o NGate). Maaaring mangyari ang pag-download sa pamamagitan ng mga link sa SMS, email, phishing website, o mga notification sa browser (halimbawa, gamit ang mga PWA).
  • NFC access at pagnanakaw ng data: Kapag na-install na, humihiling ang app ng pahintulot na ma-access ang NFC. Ang operator (scammer) ay humiling sa biktima na hawakan ang kanilang pisikal na bank card sa telepono upang "i-verify" ito. Sa puntong iyon, binabasa ng app ang data mula sa NFC chip at ipinapadala ito sa server o device ng umaatake.
  • Replikasyon at mapanlinlang na paggamit ng card: Gamit ang ninakaw na data, ang kriminal ay gumagamit ng mga tool tulad ng Tapper upang tularan ang card sa isa pang Android device, na nagbibigay-daan sa kanila na gumawa ng mga contactless na pagbabayad sa mga tindahan at mga cash withdrawal mula sa NFC-compatible na ATM, kadalasan para sa maliliit na halaga na hindi nade-detect ng mga anti-fraud na kontrol.

Ang pinaka-nakababahala tungkol sa prosesong ito ay iyon Hindi pa rin nakikita ng mga antivirus program ang mga banta na ito sa karamihan ng mga kaso.. Ang SuperCard X, halimbawa, ay hindi lumitaw (sa panahon ng mga unang ulat) sa anumang VirusTotal engine, at ang Google Play Protect, bagama't itinuturing na isang hadlang, ay napatunayang hindi sapat sa ilang mga advanced na kaso.

Ang papel ng teknolohiya ng NFCGate at ang kaugnayan nito sa mga pag-atake

Sa orihinal, ang tool na NFCGate ay ginawa sa Darmstadt University of Technology bilang isang open-source na proyekto para sa mga developer at mananaliksik upang makuha, suriin, at ipadala ang trapiko ng NFC sa pagitan ng mga device. Bagama't lehitimo ang aplikasyon nito, nakita ng mga cybercriminal ang potensyal na pagsamantalahan ang NFCGate at lumikha ng mga nakakahamak na variant tulad ng NGate, inaangkop ang paggana nito para sa mga layuning kriminal.

Binibigyang-daan ka ng NFCGate na makuha ang komunikasyon sa pagitan ng isang card at isang terminal, ipadala ito sa pamamagitan ng isang intermediate server, at tularan ito sa isa pang Android device..

Ang prosesong ito, teknikal na kilala bilang Pag-atake ng NFC relay, ay umaasa sa arkitektura at mga pahintulot ng Android system, na ginagawang posible kahit na mula sa mga hindi naka-root na telepono. Maaaring maglakbay ang data mula sa infected na telepono patungo sa terminal ng attacker nang real time, na nagbibigay-daan sa mga contactless na pagbabayad at malayuang pag-withdraw ng cash nang hindi nalalaman ng cardholder.

Natukoy na mga senaryo ng pag-atake: mula sa phishing hanggang sa pisikal na pag-clone ng mga tag ng NFC

Ang pananaliksik ng ESET at iba pang mga eksperto ay nagsiwalat ng iba't ibang mga sitwasyon kung saan maaaring gamitin ng mga umaatake ang teknolohiya ng NFC higit pa sa simpleng pagnanakaw ng data ng pagbabangko:

  • Mga malakihang kampanya sa phishingSa pamamagitan ng pagpapadala ng maramihang mga mensaheng SMS na naglalaman ng mga link sa mga nakakahamak na website na gumagaya sa mga totoong banking app, nanlilinlang ang mga umaatake sa mga biktima sa pag-install ng mga PWA (Progressive Web Apps) o WebAPK na idinisenyo upang magnakaw ng mga kredensyal at magbigay ng daan para sa mga impeksyon ng NGate.
  • Pag-clone ng mga NFC card at access token: Ang malware ay hindi lamang idinisenyo para sa mga bank card. Maaari din nitong nakawin ang UID (natatanging identifier) ​​ng mga tag ng NFC na ginagamit sa pag-access sa mga gusali, pampublikong sasakyan o mga pinaghihigpitang lugar. Maaaring tularan ng isang attacker ang identifier at makakuha ng pisikal na access sa mga protektadong lokasyon.
  • Maliit na mga contactless na pagbabayadSa mga sitwasyong may mataas na trapiko (transportasyon, mga shopping center, mga kaganapan), maaaring basahin ng mga kriminal ang mga card sa pamamagitan ng mga bag o kaso, pagkatapos ay i-clone ang impormasyon at magsagawa ng mga pagbabayad na mababa ang halaga, na umaayon sa mga limitasyon ng nag-isyu na entity.
  • Pagnanakaw ng digital card: Posibleng ma-intercept ang mga signal ng NFC mula sa mga digital wallet na app (Google Wallet, Apple Wallet), kahit na ang mga hakbang sa seguridad na ipinakilala ng mga system na ito (biometric na pag-verify o password bago ang bawat pagbabayad) ay huminto sa mga pag-atake na ito sa mga pinaka-up-to-date na mga mobile phone.

Ang mga kasong ito ay nagpapakita na ang banta ay hindi limitado sa mga partikular na bangko, o maging sa mga tradisyonal na card. Anumang system na gumagamit ng NFC ay posibleng masugatan sa isang mahusay na disenyong pag-atake.

Paano ipinamamahagi ang malware: Mga PWA, WebAPK, at ang lehitimo na bitag

Isa sa mga magagandang inobasyon sa pamamahagi ng malware na nauugnay sa NFC ay ang pang-aabuso sa mga PWA (Progressive Web Apps) at WebAPK. Hindi tulad ng mga tradisyonal na app, na nangangailangan ng pag-install mula sa Google Play at nangangailangan ng pag-verify, pinapayagan ng mga PWA ang mga user na mag-install ng app mula sa kanilang browser at ipakita ito sa kanilang mobile desktop na parang lehitimo. Kino-customize ng mga cybercriminal ang mga icon at pangalan para perpektong gayahin ang mga opisyal na app sa pagbabangko, at gumamit pa ng mga notification o banner na nag-iimbita sa iyo na "protektahan ang iyong account" o "i-update ang app."

Ini-install ng hindi pinaghihinalaang user ang PWA o WebAPK mula sa isang mapanlinlang na link, kaya sinisimulan ang proseso ng impeksyon, kadalasan nang walang anumang kakaibang pahintulot o kahina-hinalang babala.. Ang susunod na hakbang ay ang pagnanakaw ng mga kredensyal at ang pag-install ng pangunahing malware, na magiging responsable sa pag-hijack sa function ng NFC.

Ang panlilinlang na ito ay nadagdagan ng maling pananaw sa seguridad na nararanasan ng mga nagda-download lang ng mga app "mula sa tindahan," na binabalewala ang katotohanang pinapayagan ng mga modernong browser na ma-install ang mga web app sa isang click lang, at nang walang anumang pagsusuri ng Google o anumang iba pang pinagkakatiwalaang entity.

Ang papel ng social engineering: ang susi sa tagumpay ng mga pag-atake na ito

Ang katalinuhan ng mga pag-atakeng ito ay nasa Ang kakayahan ng mga kriminal na sikolohikal na manipulahin ang gumagamit at gawing isang hindi sinasadyang kasabwat sa kanilang sariling pagnanakaw.. Ang mga tawag at mensaheng nagpapanggap na mga bangko, ang paggigipit na kumilos nang madalian ("hina-hack ang iyong account, tawagan kami ngayon"), mga website na mukhang propesyonal, at ang salaysay ng pag-aalok ng "higit na seguridad" ay lahat ng elementong idinisenyo para ibaba ang bantay ng biktima.

Ang pangunahing elemento ay ang hook ng tawag sa telepono. Bagama't maraming mga digital na pandaraya ang nananatiling pawang Phishing, ang pagsasama ng isang pakikipag-ugnayan sa telepono sa mga operator na nagpapanggap na mga empleyado ng bangko ay lubhang epektibo para sa kunin ang sensitibong impormasyon, gaya ng PIN, petsa ng kapanganakan, o numero ng customer, at palakasin ang kredibilidad ng maling kuwento.

Sa ilang mga kampanya, pagkatapos magnakaw ng mga kredensyal, kinukumbinsi ng mga umaatake ang biktima na huwag paganahin ang mga limitasyon sa paggastos at i-activate ang function ng NFC sa ilalim ng iba't ibang mga dahilan, kaya nagbibigay-daan sa pag-clone ng card.

Saan nagaganap ang mga pag-atakeng ito at ano ang saklaw nito?

Bagama't ang mga unang detalyadong ulat at pagsusuri ay nagmula sa Central Europe (lalo na sa Czech Republic at Italy), Sumasang-ayon ang mga eksperto na ang paraan ay nae-export sa anumang bansa kung saan malawakang ipinapatupad ang contactless na pagbabayad at mga financial app.. Ang katangian ng 'malware-as-a-service' ng mga platform tulad ng SuperCard X ay nangangahulugan na maaari silang iakma sa mga regulasyon, wika, at lokal na awtoridad ng anumang rehiyon, sa ilang pag-click lang at walang malawak na teknikal na kaalaman.

Sa Spain, ang mga pangunahing ahensya ng cybersecurity ay naglabas na ng mga babala tungkol sa banta, at kahit na ang isang napakalaking kampanya ay hindi pa natukoy, ang lahat ng mga kondisyon ay nasa lugar para sa pag-atake na kumalat sa anumang sandali. Naidokumento ang mga variant na gumagaya sa mga pambansa at rehiyonal na bangko, na nag-aangkop ng mga mensahe ng phishing sa mga lokal na kaugalian at kaganapan (hal., mga refund sa buwis sa kita, mga kampanya sa pagpapalit ng card, atbp.).

Ang trend na ito ay pinabilis ng pagpapasikat ng mga contactless na pagbabayad, mobile banking system, at pandemya, na nagpilit sa libu-libong tao na mabilis na mag-digital. Ang hangganan sa pagitan ng pisikal at digital na mundo ay hindi kailanman naging napakalabo, o nalantad..

Teknikal na Pagsusuri: Paano Gumagana ang NGate at Ano ang Nagiging Napakapanganib Nito?

Ang pananaliksik na inilathala ng at ng iba pang mga eksperto ay nagpapakita na ang NGate ay ipinamamahagi sa anyo ng isang naka-customize na APK, kadalasan sa ilalim ng mga pangalan at logo na ginagaya ang mga totoong banking app (hal., "SmartKlic," "rb_klic," "george_klic"), at ang impeksyon ay nangyayari sa labas ng Google Play, sa pamamagitan ng mga mapanlinlang na site.

Kapag na-install, ang malware ay nagde-deploy ng WebView (isang browser na naka-embed sa loob ng app) upang magpakita ng phishing site at magnakaw ng mga kredensyal.. Pagkatapos ay humihiling ito ng mga pangunahing pahintulot upang subaybayan ang katayuan ng NFC, kumuha ng data mula sa device, at simulan ang NFC traffic transmission kung ang biktima ay naglalagay ng card malapit sa telepono. Maaaring baguhin ng malware ang server kung saan ito nagpapadala ng data batay sa tugon na natatanggap nito, na nagpapahirap para sa mga awtomatikong system na matukoy at ma-block.

Mga teknikal na tagapagpahiwatig: mga sample, domain at detection

Natukoy ng pagsusuri sa mga nakolektang file ang ilang pangunahing tagapagpahiwatig ng NGate, kabilang ang mga sumusunod na pangalan ng package at ipinamahagi na mga APK file:

  • csob_smart_klic.apk (iba't ibang bersyon)
  • george_klic.apk, george_klic-0304.apk
  • rb_klic.apk

Ang lahat ng app na ito ay nagbabahagi ng mga natatanging certificate at parameter na nagpapakilala sa kanila mula sa mga lehitimong application. Ang mga domain na ginamit upang ipamahagi ang mga ito ay madalas na ginagaya ang mga pangalan ng bangko, gaya ng 'raiffeisen-czeu' o 'app.mobil-csob-czeu', o gumamit ng mga subdomain sa mga libreng serbisyo at cloud proxy para i-bypass ang mga filter.

Tulad ng para sa mga server at nauugnay na mga IP address, marami ang natukoy na kabilang sa mga internasyonal na tagapagbigay ng pagho-host, pati na rin ang mga command at kontrol na server na hino-host ng mga serbisyo sa pagho-host ng Ukrainian at European. Ang paggamit ng Cloudflare bilang isang intermediary proxy ay nagpapahirap sa paghahanap at pagsasara ng mga mapagkukunang ito.

Bakit hindi ito nakikita ng mga antivirus?

Ang isa sa mga salik na ginagawang lalong mapanganib ang NGate at SuperCard X ay iyon Ang code nito ay patuloy na nagmu-mute at gumagamit ng mga diskarte sa obfuscation upang hindi mapansin. laban sa software ng seguridad. Higit pa rito, dahil ang kanilang mga paraan ng impeksyon ay batay sa social engineering at pag-download ng mga hindi awtorisadong APK, iniiwasan nila ang kontrol ng Protektahan ang Google Play at iba pang awtomatikong sistema ng pagpapatunay ng app.

Sa pagsulat na ito, karamihan sa mga antivirus engine ay hindi nakikilala ang mga banta na ito o bahagyang nakikilala lamang ang mga ito pagkatapos makatanggap ng mga sample, na nag-iiwan sa mga user na walang pagtatanggol laban sa unang impeksiyon. Tanging ang mga regular na pag-update sa database at pagpapalakas ng mga filter ng heuristic detection ang magbabalik sa sitwasyong ito sa hinaharap.

Ang hinaharap ng mga pag-atake ng NFC at ang pagtaas ng malware-as-a-service

Ang modelo ng malware bilang isang serbisyo (MaaS), na nagbibigay-daan sa sinumang cybercriminal na umarkila ng mga platform tulad ng SuperCard X na mag-deploy ng mga customized na pag-atake, na ginagawang mas pandaigdigan ang banta. Ang mga nag-develop ng mga serbisyong ito ay nag-aalok ng teknikal na tulong, mga channel ng suporta sa Telegram, at patuloy na pag-update upang iwasan ang mga depensa, democratizing access sa mga advanced na tool sa pandaraya.

Nakahanap ang mga mananaliksik ng mga forum at channel na nagpo-promote ng pagbebenta ng mga bersyon na inangkop sa iba't ibang bangko, rehiyon, at wika, pati na rin ang mga package na kinabibilangan ng malware at mga pantulong na app (halimbawa, ang Tapper app para sa pagtulad sa mga card).

Paano protektahan ang iyong sarili laban sa NFC malware at ang mga bagong paraan ng pagnanakaw na ito?

Dahil sa pagiging sopistikado ng mga pag-atakeng ito, mahalagang mag-ingat, kapwa sa indibidwal na antas at mula sa isang negosyo o institusyonal na pananaw. Ang mga pinaka-kaugnay na rekomendasyon, ayon sa mga eksperto at organisasyon ng cybersecurity, ay kinabibilangan ng:

  • Palaging i-verify ang pagiging tunay ng mga natanggap na mensahe at tawag, lalo na kung iniimbitahan ka nilang mag-download ng mga app, maglagay ng mga kredensyal, o kumilos nang madalian.
  • Huwag mag-install ng mga application mula sa mga link na natanggap sa pamamagitan ng SMS, WhatsApp, o email.. Palaging pumunta sa opisyal na Google Play store para sa anumang mga pag-download, at maghinala sa mga app na nangangako ng "idinagdag na seguridad" o pag-verify ng account.
  • Suriin nang detalyado ang mga pahintulot na hinihiling ng bawat application, lalo na ang mga nauugnay sa pag-access sa NFC at personal na impormasyon..
  • Panatilihing napapanahon ang operating system at software ng seguridad, pati na rin ang pag-activate ng mga advanced na feature ng proteksyon na nakakakita ng hindi pangkaraniwang gawi.
  • Huwag paganahin ang function ng NFC kapag hindi ginagamit, o gumamit ng mga case at wallet na may kalasag sa RFID upang gawing mas mahirap ang hindi sinasadya o malisyosong pag-access sa card.
  • Huwag kailanman ibahagi ang iyong PIN o iba pang sensitibong impormasyon sa telepono o sa mga web form maliban kung talagang sigurado ka sa pagkakakilanlan ng ibang tao..
  • Gumamit ng mga virtual card at biometric authentication system sa mga digital wallet app, hangga't maaari..

Maraming mga bangko ang nagsimulang palakasin ang kanilang mga kontrol, na nangangailangan ng karagdagang pag-verify para sa malalaking pagbabayad o pagbabago ng PIN, ngunit ang user ay nananatiling una at huling link sa chain ng seguridad.

Ang kahalagahan ng pagsasanay at patuloy na pagsubaybay

Ang labanan laban sa malware ay nagbabago bawat linggo, at ang mga user ay dapat magpanatili ng a kritikal na saloobin sa anumang bagong komunikasyon o app, kahit na mukhang nagmula ito sa mga mapagkakatiwalaang mapagkukunan. Ang pangunahing pagsasanay sa cybersecurity ay mas mahalaga na ngayon kaysa dati: ang pag-alam kung paano tumukoy ng mga kahina-hinalang pattern, pag-unawa kung paano gumagana ang mga pahintulot, at pagkilala sa mga palatandaan ng isang pag-atake ay maaaring gumawa ng pagkakaiba sa pagitan ng impeksyon at proteksyon.

Higit pa rito, mahalagang iulat ang anumang kahina-hinalang insidente sa nauugnay na bangko o institusyon, gayundin sa nauugnay na awtoridad sa cybersecurity. Makakatulong ito na maiwasan ang pagkalat ng mga bagong variant ng malware at maiwasan ang ibang mga user na maapektuhan.

Ang pagtaas ng mga pagbabayad sa mobile at ang digitalization ng pang-araw-araw na buhay ay hindi mapigilan, ngunit hindi ito dapat humantong sa mas mataas na panganib kung ang mga tamang hakbang ay ipinatupad at ang pagbabantay ay pinananatili.

Mahalagang malaman na ang mga advanced na banta na ito, tulad ng NGate at SuperCard X, ay nagmamarka ng isang bagong panahon kung saan ang panloloko ay maaaring isagawa nang walang pisikal na pakikipag-ugnayan, sa kondisyon na ang mga kriminal ay may access sa isang nahawaang device at ang naaangkop na social engineering. Ang pag-iwas, patuloy na pag-update, at pagsasanay sa cybersecurity ay susi sa pagbabawas ng mga panganib at pagprotekta sa aming mga pinansyal at personal na mapagkukunan.