Trojan kradnie pieniądze, gdy płacisz telefonem. Tak dopracowanego ataku nie było już dawno
W Polsce sprawnie adaptują się nowinki techniczne związane z płatnościami. Dysponujemy świetnym systemem BLIK, dużą popularnością cieszą się nie tylko płatności bezgotówkowe, ale też zbliżeniowe, a ostatnio płatności zbliżeniowe dokonywane telefonem. Nowy trojan bierze na cel właśnie te osoby, które często płacą w sklepach smartfonami.
Płacący telefonem na celowniku. Trwa bardzo pomysłowy atak
Serwis bleepingcomputer.com informuje o zidentyfikowaniu nowego złośliwego oprogramowania o nazwie NGate. Jest ono o tyle ciekawe, że wykorzystuje relatywnie mało popularny scenariusz ataku. I robi to świetnie. Dochodzi do niego podczas płatności zbliżeniowych z użyciem modułów NFC w telefonach. Najpierw trzeba zainstalować zainfekowaną trojanem aplikację, a ta przechwytuje podczas transakcji dane karty płatniczej.
Nowego szkodnika odnaleźli analitycy ESET i początek jego aktywności datuje się już na listopad 2023 r. Do infekcji wykorzystywana jest fałszywa aplikacja bankowa, w omawianym przypadku podszywająca się pod bankowość mobilną jednego z czeskich banków. Sąsiedztwo Polski każe być ostrożnym także u nas - kampania może być zakrojona szerzej w regionie i ofiarami mogą padać także polscy użytkownicy smartfonów z Androidem.
Dzwoni nieznajomy numer? Jeśli to usłyszysz, natychmiast się rozłączNapastnicy uzbroili oprogramowanie opracowane w celach naukowych
Wszystko zaczyna się od propozycji zainstalowania aktualizacji aplikacji bankowej na podrobionej stronie banku. Komunikat jest bardzo podobny do tego wyświetlanego przez oficjalny sklep z aplikacjami na Androida, Google Play. Po kliknięciu linka zostajemy przenoszeni na fałszywą stronę Google Play, skąd możemy pobrać aplikację rzekomego banku. Od strony technicznej nie dochodzi do faktycznej instalacji aplikacji, lecz do pobrania witryny w formie PWA, czyli aplikacji webowej, a następnie WebAPK.
Jest to rozwiązanie o tyle sprytne, że użytkownik-ofiara w żadnym momencie nie jest proszony o przyznanie uprawnień, co mogłoby wzbudzić jego podejrzliwość. NGate pobiera następnie opensource’owy ogólnodostępny komponent NFCGate. Co ciekawe, został on opracowany i udostępniony w celach naukowych. Pozwala on śledzić aktywność modułu NFC i zbierać dane w celach testowych i analitycznych. Jak się jednak okazuje, także w celach cyberprzestępczych.
Przemyślany i wyrafinowany atak
Z użyciem NFCGate możliwe jest przechwytywanie całości operacji dokonywanych kartą za pośrednictwem modułu NFC. Można więc przechwytywać transakcje, przekazywać dalej, powtarzać czy klonować. W wielu przypadkach nie jest do tego wymagane nawet zrootowanie urządzenia. W ten sposób oprogramowanie opracowane w szczytnym celu zostało uzbrojone i może być wykorzystywane do kradzieży pieniędzy.
Dzięki przechwyconym danym napastnik nadal może co prawda płacić zbliżeniowo, ale nie może wypłacać gotówki z bankomatu. I na to znalazł się sposób. Twórcy NGate postawili na socjotechnikę i po pobraniu aplikacji dzwonią do ofiar w celu fikcyjnej weryfikacji. Po rozmowie przesyłają ofierze SMS-a i zachęcają do potwierdzenia PIN-u w aplikacji. To diablo sprytne, bo nawet jeśli ofiara jest na tyle świadoma, by nie podawać nikomu PIN-u przez telefon, to przecież rzekomy pracownik banku wcale o to nie prosi. Zamiast tego zachęca do potwierdzenia go samodzielnie w aplikacji. Ofiara nie wie jednak, że aplikacja to fałszywka.
Trzeba przyznać, że rzadko mamy do czynienia z tak sprytnym i przemyślanym atakiem. Wykorzystanie ogólnodostępnych narzędzi, a następnie świetna zagrywka socjotechniczna polegająca na wykradaniu PIN-u przez aplikację, a nie podczas rozmowy telefonicznej świadczy o dużym wyrafinowaniu napastników. Dobre wieści są takie, że Google twierdzi, że NGate jest już wychwytywany przez preinstalowane w Androidzie mechanizmy ochrony Google Play Protect.
