Android malware lopja a bankkártyaadatokat

– a támadó emulálja a kártyát és használhatja

Arstechnica.com – Dan Goodin - 8/23/2024, 10:12 PM

Az NGate nevű kártékony program a megtámadott telefon NFC-eszközét használja fel az adatlopásra, és a megszerzett információtka továbbítja a támadó telefonjára. A malware nevét onnan kapta, hogy az NFCGate nyílt forráskódú NFC (Near-Field Communication) forgalmát figyelő, elemző és módosító eszközre támaszkodva készítették. 

Az NFC (Near-Field Communication)  protokoll teszi lehetővé két eszköz kis távolságú kommunikációját.

Az NGate terjesztése hivatalos banki szoftvernek álcázott applikáció segítségével történik, ami az indításakor kéri a bankkártyaadatokat és az NFC bekapcsolása után a kártya leolvasását.

A malware-t az Android és az iOS ellenőrzését kikerülve, 2023-ban három cseh bank ellen alkalmazták. Ez év márciusában további, a Google Play áruházakon kívüli hat NGate-applikáció változatot találtak. A múlt hónapban néhány PWA formájában is előkerült. A PWA olyan applikációt takar, ami mind Androidra, mind iOS-re telepíthető. Utóbbira akkor is, ha az iOS-készüléken be van kapcsolva a nem-hivatalos forrásból származó szoftverek telepítésének megakadályozása.

Az NGate használata valószínűleg azért szakadt meg, mert a cseh rendőrség letartóztatott egy 22 éves fiatalt, aki símaszkban akart pénzt kivenni bankautomatából. 

A cseh rendőrség beszámolója szerint a pénzlopás összetett folyamat volt, amiben az áldozat kapott egy SMS-t adóvisszatérítést helyezve kilátásba, amihez a hamisított honlapra kellett belépni – valószínűleg egy kártékony PWA-n keresztül. A támadó adatok megszerezése után banki alkalmazottnak kiadva magát felhívta az áldozatot, hogy a bankkártyaadatai kikerültek, feltehetően egy korábbi SMS miatt. A megtakarítások védelme érdekében javasolta a PIN-kód megváltoztatását az NGate-t tartalmazó alkalmazáson  keresztül és az új kód érvényesíttetéséhez kérte a kártya  hozzáérintését a telefon hátoldalához.

Ha az NFC-adatok átadása sikerült, akkor a támadó szabadon rendelkezhetett a számla fölött. Ha nem akkor egyszerűen átutalhatott pénzt más számlára. (Az NGate sikere esetén nyom nélkül tudott a támadó a pénzhez hozzájutni.)

Az ESET kutatói szerint egy másik lehetséges szcenárió, amikor az NFC-címke egyedi azonosítóját lopják el az NGate-tel. A kísérletek során sikerrel tudtak átküldeni 1Kb-s MIFARE címket, amiket a tömegközlekedésben, belépő- illetve tagsági kártyákon, vagy diákigazolványokon használnak. A lopás menete, hogy egy NGate-t futtató telefont raknak a kártya (eszköz) közelébe, ami az ID leolvasása után továbbítja azt egy másik telefonra. Ezután az ID használható a másik telefonon is.

A Google tájékoztatása szerint a Google Play áruházban nincs ilyen malware-t (ismert változatát) tartalmazó alkalmazás és a Google Play Protect képes figyelmeztetni a felhasználókat, vagy blokkolni, ha külső forrásból kerül ilyen alkalmazás a telefonra.

Az Ars Technica honlapot olvasva találtam két hírt, ami megmutatja hogyan élnek vissza a technikai fejlődés eredményeivel.

Folyik a - piszkos - elnökválasztási kampány az USA-ban. A Lingo Telcom nevű céget 1 Millió USD-re büntették, mert a hívóazonosító ellenőrzése nélkül engedte, hogy Joe Biden nevében robotok felhívjanak New Hampshire lakosokat, akiket az ő hangját meghamisítva (deepfake) arra kértek,  ne szavazzanak. Hamarosan itthon is találkozni fogunk ezzel a taktikával. (Nem mellesleg a Nagy-Britannia-i muszlim ellenes zavargások elindítója is egy álhír volt, amiben a gyerekeket megkéselőről azt állították, hogy a "southporti gyerekgyilkosságokat elkövető 17 éves fiatal egy nemrég Nagy-Britanniába érkezett muszlim menedékkérő volt, holott a valóságban az elkövető ruandai származású, de már nagy-britanniai születésű, keresztény fiú" volt (Hirado.hu).)

Az intelligens edző-, szobakerékpárokat gyártó Peloton, amerikai cég a nem rajtuk keresztül, vagy hivatalos forgalmazó partnereiktől vásárolt, használt gépek aktiválásra 95 USD díjat számol fel. Ez egy, az előfizetői díjon túli összeg. A cég a Covid-19 idején kaszált igazán, de cég értéke az akkori 50 Mrd USD-ről mostanra 2,1 Mrd USD-re esett vissza. A cég gépei amúgy sem túl olcsók, mivel pl a Bike+ 2500 USD-be kerül. Csak az autógyártóknak, a híradástechnikai eszközök gyártóinak ne jusson eszébe, hogy ők is kérhetnének "reaktiválási díjat"! 

Erről az jut eszembe, hogy Bill Gates, valamikor az ezredfordulón úgy vizionálta a szoftverek jövőjét, hogy a számítógépeken nem lesz szoftver, hanem a felhasználó adott célnak megfelelően "bérelni" fogja azt az online programot, amire a feladataihoz szüksége van. Az informatikai cégek és most már a hardvergyártók is vettek a lapot. Terelik az embereket az online világ felé, amit gazdasági céljaiknak megfelelően uralni tudnak. A törekvés találkozik a kormányok akaratával is, mivel online sokkal könnyebb ellenőrizni az állampolgárokat, legyenek azok akár jó-, akár rossz szándékúak. És akkor csodálkoznak, hogy a gátlástalan diktatúrák - Oroszország, Kína, Észak-Korea és még sorolhatnánk - hekkercsapatokkal folytatnak kiberháborút, okoznak gazdasági és politikai károkat, tényleges, hatékony és látványos válaszcsapások nélkül. 

Szép jövő. :( Éljen a Linux! Éljen a szabad szoftver!