Trojan kradnie pieniądze, gdy płacisz telefonem. Tak dopracowanego ataku nie było już dawno
W Polsce sprawnie adaptują się nowinki techniczne związane z płatnościami. Dysponujemy świetnym systemem BLIK, dużą popularnością cieszą się nie tylko płatności bezgotówkowe, ale też zbliżeniowe, a ostatnio płatności zbliżeniowe dokonywane telefonem. Nowy trojan bierze na cel właśnie te osoby, które często płacą w sklepach smartfonami.
Płacący telefonem na celowniku. Trwa bardzo pomysłowy atak
Serwis bleepingcomputer.com informuje o zidentyfikowaniu nowego złośliwego oprogramowania o nazwie NGate. Jest ono o tyle ciekawe, że wykorzystuje relatywnie mało popularny scenariusz ataku. I robi to świetnie. Dochodzi do niego podczas płatności zbliżeniowych z użyciem modułów NFC w telefonach. Najpierw trzeba zainstalować zainfekowaną trojanem aplikację, a ta przechwytuje podczas transakcji dane karty płatniczej.
Nowego szkodnika odnaleźli analitycy ESET i początek jego aktywności datuje się już na listopad 2023 r. Do infekcji wykorzystywana jest fałszywa aplikacja bankowa, w omawianym przypadku podszywająca się pod bankowość mobilną jednego z czeskich banków. Sąsiedztwo Polski każe być ostrożnym także u nas - kampania może być zakrojona szerzej w regionie i ofiarami mogą padać także polscy użytkownicy smartfonów z Androidem.
Napastnicy uzbroili oprogramowanie opracowane w celach naukowych
Wszystko zaczyna się od propozycji zainstalowania aktualizacji aplikacji bankowej na podrobionej stronie banku. Komunikat jest bardzo podobny do tego wyświetlanego przez oficjalny sklep z aplikacjami na Androida, Google Play. Po kliknięciu linka zostajemy przenoszeni na fałszywą stronę Google Play, skąd możemy pobrać aplikację rzekomego banku . Od strony technicznej nie dochodzi do faktycznej instalacji aplikacji, lecz do pobrania witryny w formie PWA, czyli aplikacji webowej, a następnie WebAPK.
Jest to rozwiązanie o tyle sprytne, że użytkownik-ofiara w żadnym momencie nie jest proszony o przyznanie uprawnień, co mogłoby wzbudzić jego podejrzliwość. NGate pobiera następnie opensource’owy ogólnodostępny komponent NFCGate. Co ciekawe, został on opracowany i udostępniony w celach naukowych. Pozwala on śledzić aktywność modułu NFC i zbierać dane w celach testowych i analitycznych. Jak się jednak okazuje, także w celach cyberprzestępczych.
Przemyślany i wyrafinowany atak
Z użyciem NFCGate możliwe jest przechwytywanie całości operacji dokonywanych kartą za pośrednictwem modułu NFC. Można więc przechwytywać transakcje, przekazywać dalej, powtarzać czy klonować. W wielu przypadkach nie jest do tego wymagane nawet zrootowanie urządzenia. W ten sposób oprogramowanie opracowane w szczytnym celu zostało uzbrojone i może być wykorzystywane do kradzieży pieniędzy.
Dzięki przechwyconym danym napastnik nadal może co prawda płacić zbliżeniowo, ale nie może wypłacać gotówki z bankomatu. I na to znalazł się sposób. Twórcy NGate postawili na socjotechnikę i po pobraniu aplikacji dzwonią do ofiar w celu fikcyjnej weryfikacji. Po rozmowie przesyłają ofierze SMS-a i zachęcają do potwierdzenia PIN-u w aplikacji. To diablo sprytne, bo nawet jeśli ofiara jest na tyle świadoma, by nie podawać nikomu PIN-u przez telefon, to przecież rzekomy pracownik banku wcale o to nie prosi. Zamiast tego zachęca do potwierdzenia go samodzielnie w aplikacji. Ofiara nie wie jednak, że aplikacja to fałszywka.
Trzeba przyznać, że rzadko mamy do czynienia z tak sprytnym i przemyślanym atakiem . Wykorzystanie ogólnodostępnych narzędzi, a następnie świetna zagrywka socjotechniczna polegająca na wykradaniu PIN-u przez aplikację, a nie podczas rozmowy telefonicznej świadczy o dużym wyrafinowaniu napastników. Dobre wieści są takie, że Google twierdzi, że NGate jest już wychwytywany przez preinstalowane w Androidzie mechanizmy ochrony Google Play Protect.
