Android под контрол: Възходът на зловредния софтуер, клониращ NFC

  • Нов зловреден софтуер за Android използва NFC технология, за да клонира данни от банкови карти и да извършва измами.
  • Атаката комбинира социално инженерство, фишинг и злонамерени приложения, за да подведе жертвата и да ѝ даде достъп до идентификационните си данни.
  • NGate и SuperCard X са примери за напреднали вируси, които крадат данни, без да бъдат открити от повечето антивирусни програми.
Mayka JimenezАктуализирано на

14 Minutos

Android под атака: зловреден софтуер за NFC

През последните месеци сигурността в Android устройства е разтърсена от появата на заплахи, които се възползват от технологията NFC (Near Field Communication), за да извършват измами, невиждани досега на това ниво. Широко разпространеното използване на безконтактни платежни системи, заедно с разпространението на банкови приложения и нарастващата зависимост от мобилни телефони за всички видове лични транзакции, Те са идеалната среда за киберпрестъпниците да внедряват сложен зловреден софтуер, способен да клонира кредитни и дебитни карти с тревожна ефективност.. Все повече потребители се чудят дали телефонът им е наистина безопасен, а отговорът вероятно е по-тревожен, отколкото си представят.

Зловреден софтуер NGate и SuperCard X: новите дигитални злодеи

Как злонамереният софтуер клонира NFC карти

Общността за киберсигурност от години предупреждава за потенциалните опасности от NFC функционалността в мобилните телефони. Появата на NGate и SuperCard X обаче показа, че тези предупреждения не са били преувеличени. Тези зловредни програми представляват логичната еволюция на класическия фишинг, но с ниво на сложност, невиждано досега: те не се ограничават до кражба на идентификационни данни, но са способни Заснемайте данни от банкови карти, използвайки собствения NFC на телефона, и ги предавайте в реално време на устройството на престъпника..

NGate беше открита в края на 2023 г. от експерти на фирмата ESET, след серия от атаки, които засегнаха предимно клиенти на банки в Чехия. От своя страна, SuperCard X се откроява със своята „маловажна услуга като услуга“ (MaaS), т.е. платформа, която позволява на различни киберпрестъпници да извършват атаки по персонализиран начин, адаптиран към всеки регион, като Италия е една от най-скоро засегнатите страни.

И двете заплахи действат по подобен начин, но с нюанси в тяхното внедряване. Те използват фишинг канали, за да подведат потребителите да инсталират злонамерени приложения, маскирани като услуги от тяхната банка.. Чрез стартирането на тези приложения, жертвата разкрива банковата си информация, предоставяйки достъп до NFC модула на устройството си и неволно позволявайки на нападателите да клонират картите ѝ, сякаш те присъстват физически.

За първи път тези методи не изискват потребителят да има руутнат телефон (с разширени администраторски права), което значително увеличава потенциалния брой засегнати лица. Използвайки техники за социално инженерство, нападателите могат да получат ПИН кода на потребителя, датата на раждане и други важни данни и да използват тази информация, за да теглят пари от банкомати или да извършват безконтактни покупки в магазини.

Как се случва атака със зловреден софтуер на NFC върху Android?

NFC

Сложността на откритите кампании се крие в комбинация от традиционни тактики и високо иновативни техники които за първи път доведоха до реален рисков сценарий за потребители, които използват нормално мобилните си телефони. По-долу ще ви покажем основните фази на атаката:

  • Привличане чрез фишинг или социално инженерствоКиберпрестъпниците изпращат SMS, WhatsApp или дори имейл съобщения, които се представят за банки. Те ви предупреждават за подозрителна активност или необходимост от потвърждаване на транзакция, насърчавайки жертвата да се обади на фалшив номер или да кликне върху линк. Съобщенията често се отнасят до проблеми с акаунти или възстановяване на данъци, възползвайки се от реални контексти.
  • Телефонната кукаАко жертвата се обади, ще бъде посрещната от фалшив оператор, който се преструва, че е от банковата поддръжка. Този „агент“ използва трикове за убеждаване, за да извлече чувствителна информация (номер на карта, ПИН и др.) и предлага на жертвата да премахне ограниченията за разходи от приложението на банката, за да „реши проблема“.
  • Изтегляне на злонамереното приложениеПрестъпникът убеждава потребителя да инсталира приложение, уж за сигурност или проверка (като „Reader“), което всъщност е зловреден софтуер (SuperCard X или NGate). Изтеглянето може да се осъществи чрез връзки в SMS, имейли, фишинг уебсайтове или известия в браузъра (например чрез PWA).
  • Достъп до NFC и кражба на данниСлед инсталиране, приложението изисква разрешение за достъп до NFC. Операторът (измамникът) моли жертвата да доближи физическата си банкова карта до телефона, за да я „провери“. В този момент приложението чете данните от NFC чипа и ги изпраща до сървъра или устройството на нападателя.
  • Репликация и измамно използване на картатаС откраднатите данни престъпникът използва инструменти като Tapper, за да емулира картата на друго устройство с Android, което му позволява да извършва безконтактни плащания в магазини и теглене на пари в брой от банкомати, съвместими с NFC, обикновено за малки суми, които остават незабелязани от контрола срещу измами.

Най-тревожното в този процес е, че Антивирусните програми все още не откриват тези заплахи в повечето случаи.. SuperCard X, например, не се появяваше (по време на първите доклади) в нито един енджин на VirusTotal, а Google Play Protect, макар и считан за бариера, се оказа недостатъчен в някои напреднали случаи.

Ролята на технологията NFCGate и нейната връзка с атаките

Първоначално инструментът NFCGate е създаден в Техническия университет в Дармщат като проект с отворен код за разработчици и изследователи, които целят да улавят, анализират и предават NFC трафик между устройства. Въпреки че приложението му беше легитимно, киберпрестъпниците видяха потенциала да експлоатират NFCGate и създават злонамерени варианти като NGate, адаптирайки функционалността му за престъпни цели.

NFCGate ви позволява да заснемате комуникацията между карта и терминал, да я предавате през междинен сървър и да я емулирате на друго Android устройство..

Този процес, технически известен като Атака с NFC реле, разчита на архитектурата и разрешенията на Android системата, което го прави възможно дори от телефони без root достъп. Данните могат да пътуват от заразения телефон до терминала на нападателя в реално време, което позволява безконтактни плащания и дистанционно теглене на пари в брой без знанието на картодържателя.

Открити сценарии за атака: от фишинг до физическо клониране на NFC етикети

Проучване на ESET и други експерти разкри различни сценарии, в които нападателите могат да използват NFC технологията, отвъд просто кражбата на банкови данни:

  • Мащабни фишинг кампанииЧрез изпращане на масови SMS съобщения, съдържащи връзки към злонамерени уебсайтове, имитиращи истински банкови приложения, нападателите подвеждат жертвите да инсталират PWA (прогресивни уеб приложения) или WebAPK файлове, предназначени да крадат идентификационни данни и да проправят пътя за NGate инфекции.
  • Клониране на NFC карти и токени за достъпЗловредният софтуер не е предназначен само за банкови карти. Може също да открадне UID (уникален идентификатор) на NFC етикети, използвани за достъп до сгради, обществен транспорт или зони с ограничен достъп. Нападателят би могъл да емулира идентификатора и да получи физически достъп до защитени местоположения.
  • Малки безконтактни плащанияВ ситуации с висок трафик (транспорт, търговски центрове, събития), престъпниците могат да четат карти през чанти или калъфи, след което да клонират информацията и да извършват плащания с ниска стойност, като се приспособяват към ограниченията на издателя.
  • Кражба на дигитална картаВъзможно е да се прихванат NFC сигнали от приложения за цифрови портфейли (Google Wallet, Apple Wallet), въпреки че мерките за сигурност, въведени от тези системи (биометрична проверка или парола преди всяко плащане), са спрели тези атаки срещу най-съвременните мобилни телефони.

Тези случаи показват, че заплахата не се ограничава само до конкретни банки или дори до традиционните карти. Всяка система, която използва NFC, е потенциално уязвима за добре планирана атака.

Как се разпространява злонамерен софтуер: PWA, WebAPK и капанът на легитимността

Една от големите иновации в разпространението на злонамерен софтуер, свързан с NFC, е... злоупотреба с PWA (прогресивни уеб приложения) и WebAPK файлове. За разлика от традиционните приложения, които изискват инсталиране от Google Play и изискват проверка, PWA позволяват на потребителите да инсталират приложение от браузъра си и то да се показва на мобилния им десктоп, сякаш е легитимно. Киберпрестъпниците персонализират иконите и имената, за да имитират перфектно тези на официалните банкови приложения, и дори използват известия или банери, които ви канят да „защитете акаунта си“ или „актуализирате приложението“.

Нищо неподозиращият потребител инсталира PWA или WebAPK от измамна връзка, като по този начин стартира процеса на заразяване, обикновено без странни разрешения или подозрителни предупреждения.. Следващата стъпка ще бъде кражба на идентификационни данни и инсталиране на ключов зловреден софтуер, който ще бъде отговорен за отвличането на NFC функцията.

Тази заблуда се утежнява от погрешното възприятие за сигурност, което изпитват тези, които изтеглят приложения само „от магазина“, игнорирайки факта, че съвременните браузъри позволяват инсталирането на уеб приложения само с едно кликване и без никакъв преглед от Google или друга надеждна организация.

Ролята на социалното инженерство: ключът към успеха на тези атаки

Разузнаването на тези атаки се крие в Способността на престъпниците психологически да манипулират потребителя и да го превърнат в неволен съучастник в собствената си кражба.. Обаждания и съобщения, представящи се за банки, натиск за спешни действия („вашият акаунт е хакнат, обадете ни се сега“), професионално изглеждащи уебсайтове и наративът за предлагане на „повече сигурност“ са елементи, предназначени да накарат жертвата да намали бдителността си.

Основен елемент е завладяващата атмосфера на телефонния разговор. Въпреки че много дигитални измами остават в самия Фишинг, включването на телефонен контакт с оператори, които се представят за служители на банката, е изключително ефективно за извличане на чувствителна информация, като например ПИН, дата на раждане или клиентски номери засилват достоверността на фалшивата история.

В някои кампании, след кражба на идентификационни данни, нападателите убеждават жертвата да деактивира ограниченията за разходи и да активира NFC функцията под различни предлози, като по този начин проправят пътя за клониране на карти.

Къде се извършват тези атаки и какъв е техният обхват?

Въпреки че първите подробни доклади и анализи идват от Централна Европа (особено Чехия и Италия), Експертите са съгласни, че методът е приложим във всяка страна, където безконтактните плащания и финансовите приложения са широко внедрени.. Характерът на „зловреден софтуер като услуга“ на платформи като SuperCard X означава, че те могат да бъдат адаптирани към разпоредбите, езика и местните власти на всеки регион, само с няколко кликвания и без обширни технически познания.

В Испания основните агенции за киберсигурност вече са издали предупреждения за заплахата и въпреки че все още не е засечена мащабна кампания, са налице всички условия атаката да се разпространи във всеки един момент. Документирани са варианти, които имитират национални и регионални банки, адаптирайки фишинг съобщенията към местните обичаи и събития (напр. възстановяване на данък върху доходите, кампании за размяна на карти и др.).

Тази тенденция се ускори от популяризирането на безконтактните плащания, мобилните банкови системи и пандемията, която принуди хиляди хора бързо да преминат към дигитални плащания. Границата между физическия и дигиталния свят никога не е била толкова размита, нито толкова оголена..

Технически анализ: Как работи NGate и какво го прави толкова опасен?

Изследвания, публикувани от [име на автора] и други експерти, разкриват, че NGate се разпространява под формата на персонализиран APK файл, обикновено под имена и лога, имитиращи истински банкови приложения (напр. „SmartKlic“, „rb_klic“, „george_klic“), и че заразяването се случва извън Google Play, чрез измамнически сайтове.

Когато е инсталиран, зловредният софтуер внедрява WebView (браузър, вграден в приложението), за да покаже фишинг сайт и да открадне идентификационни данни.. След това изисква ключови разрешения за наблюдение на състоянието на NFC, получаване на данни от устройството и иницииране на предаване на NFC трафик, ако жертвата постави карта близо до телефона. Зловредният софтуер може да промени сървъра, на който изпраща данни, въз основа на получения отговор, което затруднява откриването и блокирането му от автоматизирани системи.

Технически индикатори: извадки, домейни и детекции

Анализът на събраните файлове е идентифицирал няколко ключови индикатора за NGate, включително следните имена на пакети и разпространявани APK файлове:

  • csob_smart_klic.apk (различни версии)
  • george_klic.apk, george_klic-0304.apk
  • rb_klic.apk

Всички тези приложения споделят уникални сертификати и параметри, които ги отличават от легитимните приложения. Домейните, използвани за разпространението им, често имитират имена на банки, като например „raiffeisen-czeu“ или „app.mobil-csob-czeu“, или използват поддомейни на безплатни услуги и облачни проксита, за да заобиколят филтрите.

Що се отнася до сървърите и свързаните с тях IP адреси, няколко от тях са идентифицирани като принадлежащи на международни доставчици на хостинг услуги, както и като сървъри за командване и контрол, хоствани от украински и европейски хостинг услуги. Използването на Cloudflare като посредник прокси затруднява локализирането и спирането на тези ресурси.

Защо антивирусните програми не го откриват?

Един от факторите, които правят NGate и SuperCard X особено опасни, е, че Кодът му постоянно мутира и използва техники за обфускация, за да остане незабелязан. срещу софтуер за сигурност. Освен това, тъй като методите им за заразяване са базирани на социално инженерство и изтегляне на неоторизирани APK файлове, те избягват контрола на Защита от Google Play и други автоматични системи за валидиране на приложения.

Към момента на писане на това, повечето антивирусни програми или не успяват да разпознаят тези заплахи, или ги разпознават само частично след получаване на проби, оставяйки потребителите беззащитни срещу първоначалната инфекция. Само редовните актуализации на базата данни и засилването на евристичните филтри за откриване ще обърнат тази ситуация в бъдеще.

Бъдещето на NFC атаките и възходът на зловредния софтуер като услуга

Моделът на зловреден софтуер като услуга (MaaS), която позволява на всеки киберпрестъпник да наема платформи като SuperCard X за внедряване на персонализирани атаки, прави заплахата още по-глобална. Разработчиците на тези услуги предлагат техническа помощ, канали за поддръжка в Telegram и постоянни актуализации, за да заобиколят защитите, демократизирайки достъпа до усъвършенствани инструменти за борба с измами.

Изследователите са открили форуми и канали, които рекламират продажбата на версии, адаптирани за различни банки, региони и езици, както и пакети, които включват както зловредния софтуер, така и допълнителни приложения (например приложението Tapper за емулиране на карти).

Как да се предпазите от злонамерен софтуер за NFC и тези нови методи за кражба?

Предвид сложността на тези атаки, е от съществено значение да се проявява изключителна предпазливост, както на индивидуално ниво, така и от бизнес или институционална гледна точка. Най-подходящите препоръки, според експерти и организации по киберсигурност, включват:

  • Винаги проверявайте автентичността на получените съобщения и обаждания, особено ако ви канят да изтегляте приложения, да въвеждате идентификационни данни или да действате спешно.
  • Не инсталирайте приложения от връзки, получени чрез SMS, WhatsApp или имейл.. Винаги посещавайте официалния магазин на Google Play за всякакви изтегляния и бъдете подозрителни към приложения, които обещават „допълнителна сигурност“ или проверка на акаунта.
  • Прегледайте подробно разрешенията, изисквани от всяко приложение, особено тези, свързани с достъпа до NFC и лична информация..
  • Поддържайте актуални операционната система и софтуера за сигурност, както и активиране на разширени функции за защита, които откриват необичайно поведение.
  • Деактивирайте NFC функцията, когато не я използватеили използвайте калъфи и портфейли, защитени с RFID, за да затрудните случайния или злонамерен достъп до картата.
  • Никога не споделяйте своя ПИН код или друга чувствителна информация по телефона или във формуляри, освен ако не сте абсолютно сигурни в самоличността на другото лице..
  • Използвайте виртуални карти и системи за биометрично удостоверяване в приложения за цифрови портфейли, когато е възможно..

Много банки започнаха да засилват контрола си, изисквайки допълнителна проверка за големи плащания или промени на ПИН код, но потребителят остава първата и последната връзка във веригата за сигурност.

Значението на обучението и текущото наблюдение

Битката срещу зловредния софтуер се развива всяка седмица и потребителите трябва да поддържат критично отношение към всяка нова комуникация или приложение, дори ако изглежда, че идва от надеждни източници. Основното обучение по киберсигурност сега е по-важно от всякога: знанието как да се идентифицират подозрителни модели, разбирането как работят разрешенията и разпознаването на признаците на атака може да направи разликата между инфекцията и защитата.

Освен това е важно да се докладват всякакви подозрителни инциденти на съответната банка или институция, както и на съответните органи за киберсигурност. Това може да помогне за предотвратяване на разпространението на нови варианти на зловреден софтуер и да предотврати засягането на други потребители.

Възходът на мобилните плащания и дигитализацията на ежедневието са неудържими, но не би трябвало да водят до повишен риск, ако се прилагат правилните мерки и се поддържа бдителност.

Важно е да се знае, че тези усъвършенствани заплахи, като NGate и SuperCard X, бележат нова ера, в която измамите могат да се извършват без физически контакт, при условие че престъпниците имат достъп до заразено устройство и подходящо социално инженерство. Превенцията, текущите актуализации и обучението по киберсигурност са ключови за намаляване на рисковете и защита на нашите финансови и лични ресурси.