Android malware lopja a bankkártyaadatokat
– a támadó emulálja a kártyát és használhatja
Arstechnica.com – Dan Goodin - 8/23/2024, 10:12 PM
Az NGate nevű kártékony program a megtámadott telefon NFC-eszközét használja fel az adatlopásra, és a megszerzett információtka továbbítja a támadó telefonjára. A malware nevét onnan kapta, hogy az NFCGate nyílt forráskódú NFC (Near-Field Communication) forgalmát figyelő, elemző és módosító eszközre támaszkodva készítették.
Az NFC (Near-Field Communication) protokoll teszi lehetővé két eszköz kis távolságú kommunikációját.
Az NGate terjesztése hivatalos banki szoftvernek álcázott applikáció segítségével történik, ami az indításakor kéri a bankkártyaadatokat és az NFC bekapcsolása után a kártya leolvasását.
A malware-t az Android és az iOS ellenőrzését kikerülve, 2023-ban három cseh bank ellen alkalmazták. Ez év márciusában további, a Google Play áruházakon kívüli hat NGate-applikáció változatot találtak. A múlt hónapban néhány PWA formájában is előkerült. A PWA olyan applikációt takar, ami mind Androidra, mind iOS-re telepíthető. Utóbbira akkor is, ha az iOS-készüléken be van kapcsolva a nem-hivatalos forrásból származó szoftverek telepítésének megakadályozása.
Az NGate használata valószínűleg azért szakadt meg, mert a cseh rendőrség letartóztatott egy 22 éves fiatalt, aki símaszkban akart pénzt kivenni bankautomatából.
A cseh rendőrség beszámolója szerint a pénzlopás összetett folyamat volt, amiben az áldozat kapott egy SMS-t adóvisszatérítést helyezve kilátásba, amihez a hamisított honlapra kellett belépni – valószínűleg egy kártékony PWA-n keresztül. A támadó adatok megszerezése után banki alkalmazottnak kiadva magát felhívta az áldozatot, hogy a bankkártyaadatai kikerültek, feltehetően egy korábbi SMS miatt. A megtakarítások védelme érdekében javasolta a PIN-kód megváltoztatását az NGate-t tartalmazó alkalmazáson keresztül és az új kód érvényesíttetéséhez kérte a kártya hozzáérintését a telefon hátoldalához.
Ha az NFC-adatok átadása sikerült, akkor a támadó szabadon rendelkezhetett a számla fölött. Ha nem akkor egyszerűen átutalhatott pénzt más számlára. (Az NGate sikere esetén nyom nélkül tudott a támadó a pénzhez hozzájutni.)
Az ESET kutatói szerint egy másik lehetséges szcenárió, amikor az NFC-címke egyedi azonosítóját lopják el az NGate-tel. A kísérletek során sikerrel tudtak átküldeni 1Kb-s MIFARE címket, amiket a tömegközlekedésben, belépő- illetve tagsági kártyákon, vagy diákigazolványokon használnak. A lopás menete, hogy egy NGate-t futtató telefont raknak a kártya (eszköz) közelébe, ami az ID leolvasása után továbbítja azt egy másik telefonra. Ezután az ID használható a másik telefonon is.
A Google tájékoztatása szerint a Google Play áruházban nincs ilyen malware-t (ismert változatát) tartalmazó alkalmazás és a Google Play Protect képes figyelmeztetni a felhasználókat, vagy blokkolni, ha külső forrásból kerül ilyen alkalmazás a telefonra.