- Útočníci skombinovali štandardné škodlivé techniky – sociálne inžinierstvo, phishing a malvér pre Android – do nového scenára útoku. ESET predpokladá, že správy vydávajúce sa za české banky boli odoslané používateľom v Česku, pričom sa zamerali na zákazníkov troch bánk.
- Podľa údajov ESET Brand Intelligence Service pôsobili útočníci v Česku od novembra 2023 a od marca 2024 vylepšili svoju techniku prostredníctvom nasadenia Android malvéru NGate.
- Útočníci dokázali pomocou malvéru NGate klonovať NFC údaje z fyzických platobných kariet obetí a prenášať tieto údaje do zariadenia útočníka, ktoré dokáže emulovať pôvodnú kartu a vybrať peniaze z bankomatu.
- Je to prvýkrát, čo sme zaznamenali škodlivý softvér pre systém Android s takouto schopnosťou, ktorý bol použitý v reálnych podmienkach, a to bez toho, aby obete mali svoje zariadenia rootnuté.
Výskumníci spoločnosti ESET odhalili kampaň, ktorá sa zamerala na klientov troch českých bánk. Použitý malvér, ktorý ESET pomenoval NGate, má jedinečnú schopnosť prenášať údaje z platobných kariet obetí prostredníctvom škodlivej aplikácie nainštalovanej v ich zariadeniach so systémom Android do rootnutého Android telefónu útočníka. Hlavným cieľom tejto kampane bolo umožniť neoprávnené výbery z bankomatov z bankových účtov obetí. To útočník dosiahol prenosom údajov z fyzických platobných kariet obetí prostredníctvom ich kompromitovaných Android smartfónov pomocou škodlivého softvéru NGate do zariadenia útočníka. Útočník potom tieto údaje použil na vykonanie bankomatových transakcií. Ak táto metóda zlyhala, útočník mal záložný plán na prevod finančných prostriedkov z účtov obetí na iné bankové účty.
„Túto novú techniku prenosu NFC sme nezaznamenali v žiadnom predtým objavenom škodlivom softvéri pre Android. Technika je založená na nástroji NFCGate, ktorý navrhli študenti Technickej univerzity v nemeckom Darmstadte na zachytávanie, analýzu alebo zmenu prevádzky NFC. Preto sme túto novú rodinu malvéru pomenovali NGate,“ hovorí Lukáš Štefanko, výskumník spoločnosti ESET, ktorý novú hrozbu a techniku objavil.
Obete si stiahli a nainštalovali škodlivý softvér po tom, čo boli oklamané, že komunikujú so svojou bankou a že ich zariadenie je ohrozené. V skutočnosti obete nevedomky kompromitovali svoje vlastné Android zariadenia ešte predtým, keď si v prvom kroku stiahli a nainštalovali aplikáciu z odkazu v podvodnej SMS správe o možnom vrátení daní.
Je dôležité poznamenať, že malvér NGate nebol nikdy dostupný v oficiálnom obchode Google Play.
Android malvér NGate súvisí s phishingovými aktivitami útočníka, ktorý pôsobil v Česku od novembra 2023. ESET sa však domnieva, že tieto aktivity boli pozastavené po zatknutí podozrivého v marci 2024. Výskumníci spoločnosti ESET najprv zaznamenali, že útočník sa od konca novembra 2023 zameriaval na klientov významných českých bánk. Malvér bol doručovaný prostredníctvom krátkodobých domén vydávajúcich sa za legitímne bankové stránky alebo oficiálne mobilné bankové aplikácie dostupné v obchode Google Play. Tieto podvodné domény boli identifikované prostredníctvom služby ESET Brand Intelligence Service, ktorá poskytuje monitorovanie hrozieb zameraných na značku klienta. V priebehu toho istého mesiaca spoločnosť ESET informovala svojich klientov o týchto zisteniach.
Útočníci využili potenciál progresívnych webových aplikácií (PWA), len aby neskôr vylepšili svoje stratégie a použili sofistikovanejšiu verziu PWA známu ako WebAPK. Nakoniec operácia vyvrcholila nasadením malvéru Ngate.
V marci 2024 spoločnosť ESET zistila, že Android malvér NGate sa stal dostupným na tých istých distribučných doménach, ktoré sa predtým používali na uľahčenie phishingových kampaní doručujúcich škodlivé PWA a WebAPK. Po nainštalovaní a otvorení zobrazí NGate falošnú webovú stránku, ktorá od používateľa žiada bankové informácie, ktoré sú následne odoslané na server útočníka.
Okrem možností phishingu obsahuje malvér NGate aj nástroj NFCGate, ktorý sa zneužíva na prenos údajov NFC medzi dvoma zariadeniami – zariadením obete a zariadením páchateľa. Niektoré z týchto funkcií fungujú len na rootnutých zariadeniach, v tomto prípade je však možné prenášať prevádzku NFC aj zo zariadení, ktoré neboli rootnuté. NGate tiež vyzýva svoje obete, aby zadali citlivé informácie, ako je bankové ID klienta, dátum narodenia a PIN k bankovej karte. Zároveň ich žiada, aby na svojich smartfónoch zapli funkciu NFC. Potom sú obete inštruované, aby priložili svoju platobnú kartu k zadnej strane smartfónu, kým škodlivá aplikácia kartu nerozpozná.
Okrem techniky, ktorú používa malvér NGate, môže útočník s fyzickým prístupom k platobným kartám tieto karty kopírovať a napodobňovať. Túto techniku by mohol použiť útočník, ktorý sa pokúša čítať karty v kabelkách, peňaženkách, batohoch alebo obaloch na smartfóny, v ktorých sú uložené karty, najmä na verejných a preplnených miestach. Tento scenár je však vo všeobecnosti obmedzený na vykonávanie malých bezkontaktných platieb na miestach s terminálmi.
„Zabezpečenie ochrany pred takýmito komplexnými útokmi si vyžaduje použitie určitých proaktívnych krokov proti hrozbám, ako sú phishing, sociálne inžinierstvo a škodlivý softvér pre Android. To znamená kontrolovať URL adresy webových stránok, sťahovať aplikácie z oficiálnych obchodov, udržiavať PIN kódy v tajnosti, používať bezpečnostné aplikácie v smartfónoch, vypínať funkciu NFC, keď nie je potrebná, používať ochranné puzdrá alebo používať virtuálne karty chránené autentifikáciou,“ radí Štefanko.
Viac technických informácií v anglickom jazyku nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Výskumník Lukáš Štefanko techniku útočníkov vysvetľuje aj na tomto videu. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET Research.