Công ty an ninh mạng ESET cho biết một phần mềm độc hại mới được phát hiện chạy trên hệ điều hành Android đánh cắp dữ liệu thẻ thanh toán bằng đầu đọc NFC trong thiết bị bị nhiễm và truyền cho kẻ tấn công. Đây là một công nghệ mới giúp nhân bản thẻ một cách hiệu quả để có thể sử dụng. tại các máy ATM hoặc điểm bán hàng.
Các nhà nghiên cứu của ESET đặt tên phần mềm độc hại là NGate vì nó bao gồm… Cổng NFCmột công cụ nguồn mở để nắm bắt, phân tích hoặc thay đổi lưu lượng NFC. Viết tắt cho Truyền thông trường gầnNFC là giao thức cho phép hai thiết bị giao tiếp không dây trong khoảng cách ngắn.
Kịch bản tấn công mới trên Android
Nhà nghiên cứu Lukasz Stefanko của ESET cho biết trong một báo cáo: “Đây là một kịch bản tấn công mới dành cho Android và lần đầu tiên chúng tôi thấy phần mềm độc hại Android có khả năng này được sử dụng một cách tự nhiên”. băng hình “Phát hiện này cho thấy phần mềm độc hại NGate có thể truyền dữ liệu NFC từ thẻ của nạn nhân thông qua một thiết bị bị xâm nhập sang điện thoại thông minh của kẻ tấn công, sau đó kẻ tấn công có thể giả mạo thẻ và rút tiền từ máy ATM.”
Lukasz Stefanko – NGate lộ mặt.
Phần mềm độc hại được cài đặt thông qua các kịch bản lừa đảo truyền thống, chẳng hạn như kẻ tấn công gửi tin nhắn đến mục tiêu và lừa họ cài đặt NGate từ các miền tồn tại trong thời gian ngắn mạo danh ngân hàng hoặc ứng dụng ngân hàng di động chính thức có sẵn trên Google Play. NGate cải trang thành một ứng dụng Target Bank hợp pháp và nhắc người dùng nhập ID khách hàng, ngày sinh và mã PIN thẻ tương ứng của ngân hàng. Ứng dụng liên tục yêu cầu người dùng bật NFC và quét thẻ.
ESET cho biết họ đã phát hiện việc sử dụng NGate đối với ba ngân hàng Séc bắt đầu từ tháng 11 và xác định sáu ứng dụng NGate riêng biệt đang lưu hành từ thời điểm đó đến tháng 3 năm nay. Một số ứng dụng được sử dụng trong những tháng sau của chiến dịch có dạng Ứng dụng web lũy tiến, viết tắt của Ứng dụng web tiến bộnhư đã báo cáo hôm thứ Năm, có thể được cài đặt trên thiết bị Android và iOS ngay cả khi cài đặt (bắt buộc trên iOS) ngăn việc cài đặt các ứng dụng có sẵn từ các nguồn không chính thức.
ESET cho biết lý do rất có thể khiến chiến dịch NGate kết thúc vào tháng 3 là… bắt giữ Cảnh sát Séc đã bắt giữ một người đàn ông 22 tuổi, người này được cho là đã đeo khẩu trang khi rút tiền từ máy ATM ở Praha. Các nhà điều tra cho biết nghi phạm “đã tạo ra một cách mới để lừa tiền của mọi người” bằng cách sử dụng một kế hoạch có vẻ giống với kế hoạch liên quan đến NGate.
Stefanko và nhà nghiên cứu ESET Jacob Osmani đã giải thích cách thức hoạt động của cuộc tấn công:
Thông báo của cảnh sát Séc tiết lộ rằng kịch bản tấn công bắt đầu bằng việc những kẻ tấn công gửi tin nhắn SMS cho các nạn nhân tiềm năng về tờ khai thuế, bao gồm liên kết đến một trang web lừa đảo mạo danh ngân hàng. Những liên kết này có khả năng dẫn đến các ứng dụng web lũy tiến độc hại. Sau khi nạn nhân cài đặt ứng dụng và nhập thông tin đăng nhập của mình, kẻ tấn công sẽ có quyền truy cập vào tài khoản của nạn nhân. Kẻ tấn công sau đó gọi điện cho nạn nhân, giả làm nhân viên ngân hàng. Nạn nhân được thông báo rằng tài khoản của anh ta đã bị hack, có thể là do tin nhắn trước đó. Kẻ tấn công thực sự đã nói sự thật – tài khoản của nạn nhân đã bị hack, nhưng sự thật đó sau đó lại dẫn đến một lời nói dối khác.
Để bảo vệ tiền của họ, nạn nhân được yêu cầu thay đổi mã PIN và xác minh thẻ ngân hàng của họ bằng ứng dụng di động – phần mềm độc hại NGate. Liên kết tải xuống NGate đã được gửi qua SMS. Chúng tôi nghi ngờ rằng trong ứng dụng NGate, nạn nhân đã nhập mã PIN cũ để tạo mã mới và đặt thẻ của họ vào mặt sau điện thoại thông minh để xác minh hoặc áp dụng thay đổi.
Vì kẻ tấn công đã có quyền truy cập vào tài khoản bị xâm nhập nên chúng có thể thay đổi giới hạn rút tiền. Nếu phương thức chuyển tiếp NFC không hoạt động, anh ta có thể chỉ cần chuyển tiền sang tài khoản khác. Tuy nhiên, việc sử dụng NGate giúp kẻ tấn công truy cập vào tiền của nạn nhân dễ dàng hơn mà không để lại dấu vết trong tài khoản ngân hàng của kẻ tấn công. Sơ đồ trình tự tấn công được thể hiện trong Hình 6.
Các nhà nghiên cứu cho biết NGate hoặc các ứng dụng tương tự có thể được sử dụng trong các tình huống khác, chẳng hạn như sao chép một số thẻ thông minh được sử dụng cho các mục đích khác. Cuộc tấn công sẽ thực hiện bằng cách sao chép mã định danh duy nhất của thẻ NFC, viết tắt là UID.
Các nhà nghiên cứu viết: “Trong quá trình thử nghiệm, chúng tôi đã chuyển thành công mã định danh người dùng duy nhất từ thẻ MIFARE Classic 1K, thường được sử dụng cho vé giao thông công cộng, huy hiệu ID, thẻ thành viên hoặc thẻ sinh viên và các trường hợp sử dụng tương tự”. “Sử dụng NFCGate, có thể thực hiện một cuộc tấn công truyền NFC để đọc mã NFC ở một vị trí và trong thời gian thực, có quyền truy cập vào các tòa nhà ở một vị trí khác bằng cách giả mạo ID người dùng duy nhất của nó, như trong Hình 7.”
Phóng to/ Hình 7. Điện thoại thông minh Android (phải) đọc UID của mã thông báo NFC bên ngoài và truyền nó sang thiết bị khác (trái).
ESET
Hoạt động nhân bản có thể xảy ra trong trường hợp kẻ tấn công có thể truy cập vật lý vào thẻ hoặc có thể đọc nhanh thẻ trong túi xách, ví, ba lô hoặc hộp đựng điện thoại thông minh có chứa thẻ. Để thực hiện và mô phỏng các cuộc tấn công như vậy, kẻ tấn công yêu cầu một thiết bị Android tùy chỉnh và đã root. Điện thoại bị nhiễm virus NGate không gặp phải tình trạng này.
