Bankový malvér zneužíva NFC technológiu, varuje ESET: Hackeri ti ukradnú kartu a vyberú si z nej všetky tvoje peniaze!
Bezpečnostní experti upozorňujú na podvodnú SMS správu, cez ktorú sa šíri zákerný malvér NGate.
Bezpečnostní analytici z ESETu upozorňujú na nový malvér, ktorý dokáže zneužívať NFC technológiu na krádež peňazí z bankomatu. Podvodná kampaň sa objavila v susednom Česku, kde sa zamerala na klientov troch českých bánk.
Nový malvér bezpečnostní analytici pomenovali NGate. Tento škodlivý softvér má jedinečnú schopnosť prenášať údaje z platobných kariet obetí prostredníctvom škodlivej aplikácie nainštalovanej v ich zariadeniach so systémom Android do rootnutého Android telefónu útočníka.
Keď sa údaje platobnej karty úspešne prenesú na zariadenie útočníka, kyberzločinec následne dokáže vykonávať neoprávnené výbery z bankomatov, z účtov obetí. Bezpečnostní experti však pozorovali aj prípady, kedy táto metóda útoku nefungovala. V takých prípadoch majú však hackeri záložný plán. V takýchto prípadoch presúvajú peniaze z účtov obetí na iné bankové účty.
„Túto novú techniku prenosu NFC sme nezaznamenali v žiadnom predtým objavenom škodlivom softvéri pre Android. Technika je založená na nástroji NFCGate, ktorý navrhli študenti Technickej univerzity v nemeckom Darmstadte na zachytávanie, analýzu alebo zmenu prevádzky NFC. Preto sme túto novú rodinu malvéru pomenovali NGate,“ hovorí Lukáš Štefanko, výskumník spoločnosti ESET, ktorý novú hrozbu a techniku objavil.
Kyberzločinci cielia na veľké banky
Útok sa začína podobne, ako väčšina bankových útokov, ktoré momentálne kolujú online priestorom. Užívateľ dostane podvodnú správu, v rámci ktorej sa útočník vydáva za banku obete. Útočníci presvedčia užívateľa, že jeho smartfón je v ohrození a musí si do zariadenia stiahnuť aplikáciu, ku ktorej v podvodnej SMS správe poskytli odkaz.
ESET upozorňuje užívateľov, aby na odkaz v podozrivých SMS správach neklikali. Banky nikdy nevyžadujú stiahnutie aplikácie cez odkaz priložený v SMS správe. Ak nebudeš na tieto správy reagovať, mal by si byť pred malvérom chránení. Bezpečnostní experti totiž vysvetľujú, že podvodná aplikácia, cez ktorú sa malvér NGate šíril nebola nikdy dostupná v oficiálnom obchode Google Play.
Neprehliadni
Predpokladá sa, že aj za týmto útokom stojí aktér, ktorý vyčíňal u našich susedov od konca minulého roka. V marci tohto roka česká polícia zadržala človeka, ktorý bol podozrivý v tomto prípade a po jeho zadržaní bola aktivita malvéru pozastavená. Zadržaný sa od novembra 2023 zameriaval taktiež na klientov najväčších českých bánk.
Od PWA aplikácií po NGate
V rámci novej kampane hackeri začali útoky pomocou PWA, teda progresívnych webových aplikácií. Neskôr prešli na sofistikovanejšiu verziu PWA, WebAPK. To všetko vyústilo do nasadenia malvéru NGate.
Po nainštalovaní aplikácie sa užívateľ dostáva na falošnú stránku banky. Na nej sa od obete útoku žiada zadať svoje platobné údaje. Keď ich obeť útoku zadá, posielajú sa rovno útočníkom. Okrem možností phishingu obsahuje malvér NGate aj nástroj NFCGate. Ten sa zneužíva na prenos údajov NFC medzi dvoma zariadeniami – zariadením obete a zariadením páchateľa. Niektoré z týchto funkcií fungujú len na rootnutých zariadeniach, v tomto prípade je však možné prenášať prevádzku NFC aj zo zariadení, ktoré neboli rootnuté. Malvér NGate taktiež žiada aj o zadanie iných citlivých údajov užívateľa, napríklad bankového ID, dátumu narodenia alebo PIN kódu k bankovej karte. Užívateľov falošná aplikácia následne vyzve, aby si zapli funkciu NFC a priložili svoju platobnú kartu k zadnej strane smartfónu, kým ju škodlivá aplikácia nerozpozná.
Okrem tejto techniky môže útočník, ktorý má fyzický prístup k platobným kartám, tieto karty kopírovať a napodobňovať. Ide o techniku, ktorú útočník použije na verejných a preplnených miestach, kde číta karty v kabelkách, peňaženkách, batohoch alebo obaloch na smartfón. Bezpečnostní experti z ESETu ale vysvetľujú, že tento scenár je obmedzený na vykonávanie malých bezkontaktných platieb na miestach s terminálmi.
Komentáre