La società di sicurezza informatica ESET ha affermato che un malware recentemente scoperto in esecuzione sul sistema operativo Android ruba i dati delle carte di pagamento utilizzando il lettore NFC nel dispositivo infetto e li trasmette agli aggressori. Si tratta di una nuova tecnologia che clona effettivamente la carta in modo che possa essere utilizzata negli sportelli bancomat o nei punti vendita.
I ricercatori ESET hanno chiamato il malware NGate perché include… Porta NFCuno strumento open source per acquisire, analizzare o alterare il traffico NFC. Abbreviazione di Comunicazioni a campo vicinoNFC è un protocollo che consente a due dispositivi di comunicare in modalità wireless su brevi distanze.
Nuovo scenario di attacco su Android
“Si tratta di un nuovo scenario di attacco per Android e della prima volta che vediamo un malware Android con questa funzionalità utilizzato in natura”, ha affermato in un rapporto il ricercatore ESET Lukasz Stefanko. video “La scoperta mostra che il malware NGate può trasferire i dati NFC dalla carta di una vittima tramite un dispositivo compromesso allo smartphone dell’aggressore, che è quindi in grado di falsificare la carta e prelevare denaro da un bancomat.”
Lukasz Stefanko – NGate smascherato.
Il malware è stato installato attraverso scenari di phishing tradizionali, ad esempio in cui l’aggressore inviava messaggi ai target e li induceva con l’inganno a installare NGate da domini di breve durata che si spacciavano per banche o da app ufficiali di mobile banking disponibili su Google Play. NGate si maschera da app legittima di Target Bank e richiede all’utente di inserire l’ID cliente della banca, la data di nascita e il PIN della carta corrispondente. L’app continua a chiedere all’utente di attivare NFC e scansionare la carta.
ESET ha dichiarato di aver rilevato l’uso di NGate contro tre banche ceche a partire da novembre e di aver identificato sei applicazioni separate di NGate in circolazione tra quel periodo e marzo di quest’anno. Alcune delle app utilizzate negli ultimi mesi della campagna si presentavano sotto forma di Progressive Web Apps, che è l’abbreviazione di Applicazioni web progressiveche come riportato giovedì può essere installato su dispositivi Android e iOS anche quando le impostazioni (obbligatorie su iOS) impediscono l’installazione di applicazioni disponibili da fonti non ufficiali.
ESET ha affermato che il motivo più probabile per cui la campagna NGate si è conclusa a marzo è stato… arresto La polizia ceca ha arrestato un uomo di 22 anni, sorpreso con una maschera mentre prelevava denaro da un bancomat a Praga. Gli investigatori hanno affermato che il sospettato “ha creato un nuovo modo per truffare le persone con i loro soldi” utilizzando uno schema che sembrava identico a quello che coinvolgeva NGate.
Stefanko e il collega ricercatore ESET Jacob Osmani hanno spiegato come ha funzionato l’attacco:
L’annuncio della polizia ceca ha rivelato che lo scenario dell’attacco è iniziato con l’invio da parte degli aggressori di messaggi SMS alle potenziali vittime riguardanti una dichiarazione dei redditi, incluso un collegamento a un sito di phishing che si spacciava per banche. È probabile che questi collegamenti conducano ad applicazioni Web progressive dannose. Una volta che la vittima ha installato l’app e inserito le proprie credenziali, l’aggressore ha ottenuto l’accesso all’account della vittima. L’aggressore ha poi chiamato la vittima, fingendosi un impiegato di banca. La vittima è stata informata che il suo account era stato violato, probabilmente a causa del messaggio di testo precedente. L’aggressore in realtà diceva la verità: l’account della vittima era stato violato, ma quella verità ha poi portato a un’altra menzogna.
Per proteggere i propri soldi, alla vittima è stato chiesto di modificare il proprio PIN e verificare la propria carta bancaria utilizzando un’app mobile: il malware NGate. Un collegamento per scaricare NGate è stato inviato tramite SMS. Sospettiamo che all’interno dell’app NGate, le vittime immettessero il vecchio PIN per crearne uno nuovo e posizionassero la carta sul retro dello smartphone per verificare o applicare la modifica.
Poiché l’aggressore aveva già accesso al conto compromesso, poteva modificare i limiti di prelievo. Se il metodo di inoltro NFC non funziona, può semplicemente trasferire il denaro su un altro conto. Tuttavia, l’utilizzo di NGate rende più semplice per un utente malintenzionato accedere ai fondi della vittima senza lasciare tracce sul conto bancario dell’utente malintenzionato. Un diagramma della sequenza di attacco è mostrato nella Figura 6.
I ricercatori hanno affermato che NGate o applicazioni simili potrebbero essere utilizzate in altri scenari, come la clonazione di alcune smart card utilizzate per altri scopi. L’attacco funzionerà copiando l’identificatore univoco del tag NFC, abbreviato in UID.
“Durante i nostri test, abbiamo trasferito con successo l’identificatore utente univoco dal tag MIFARE Classic 1K, che viene generalmente utilizzato per biglietti di trasporto pubblico, badge identificativi, tessere associative o studentesche e casi d’uso simili”, hanno scritto i ricercatori. “Utilizzando NFCGate, è possibile eseguire un attacco di trasferimento NFC per leggere un codice NFC in una posizione e, in tempo reale, ottenere l’accesso agli edifici in una posizione diversa falsificando il suo ID utente univoco, come mostrato nella Figura 7.”
Ingrandisci/ Figura 7. Uno smartphone Android (a destra) che legge l’UID di un token NFC esterno e lo trasmette a un altro dispositivo (a sinistra).
ESET
Le operazioni di clonazione possono verificarsi in situazioni in cui un utente malintenzionato riesce ad accedere fisicamente a una carta o riesce a leggere brevemente una carta in borse, portafogli, zaini o custodie per smartphone che contengono carte. Per eseguire e simulare tali attacchi, l’aggressore necessita di un dispositivo Android personalizzato e rootato. I telefoni infettati dal virus NGate non presentavano questa condizione.
