Fiziksel kredi ve banka kartlarından temassız ödeme verilerini kopyalayıp saldırganın Android cihazına iletebilen ve böylece dolandırıcılık amaçlı işlemlerin yapılmasını sağlayan tehlikeli yeni bir Android kötü amaçlı yazılımı ortaya çıktı.
Kötü amaçlı yazılımı NGate olarak izleyen ESET araştırmacıları, bunu bu hafta anlattı doğada gözlemledikleri ilk tür olarak.
Yasal Bir Araçtan Yararlanma
NGate aslında NFCgate’e dayalı olarak, Almanya’daki Darmstadt Üniversitesi’ndeki öğrencilerin yakın alan iletişimi (NFC) trafiğini yakalamak, analiz etmek ve değiştirmek için geliştirdiği bir araç. NFC, akıllı telefonlar gibi cihazların kısa mesafelerde birbirleriyle kablosuz olarak iletişim kurmasını sağlar. Üniversite öğrencileri, NFCgate’i protokollerin tersine mühendisliği veya farklı trafik koşullarında protokol güvenliğinin değerlendirilmesi için meşru bir araştırma aracı olarak tanımladılar.
Diğer şeylerin yanı sıra, NFCgate, bir Android telefonda çalışan uygulamaların gönderebileceği veya alabileceği NFC trafiğini yakalayabilir; bir sunucu aracılığıyla iki cihaz arasında NFC trafiğini aktarabilir; yakalanan NFC trafiğini tekrar oynatabilir; ve kimlik ve diğer ilk etiket bilgilerini klonlayabilir. “Bunun, Android telefonlar kullanılarak NFC temassız iletişiminin mesafesini (sadece 5 ila 10 santimetreye kadar) uzatmanın mümkün olduğunu göstermek için araştırma amaçlı olduğuna inanıyorum,” diyor ESET’in kıdemli kötü amaçlı yazılım araştırmacısı Lukas Stefanko.
ESET, NFCGate’in yeteneklerini kimlik avı ve sosyal mühendislik yöntemleriyle birleştirerek, dolandırıcılık amaçlı ATM işlemleri yoluyla kurbanlarının banka hesaplarından para çalmaya çalışan bir tehdit aktörünü gözlemledi.
Sinsi Dolandırıcılık
Dolandırıcılık, Çek yetkililer tarafından yakın zamanda tutuklanan 22 yaşındaki bir tehdit aktörü tarafından, Çekya’daki potansiyel kurbanlara vergiyle ilgili bir konu hakkında SMS mesajları gönderilmesiyle ilgiliydi. Bağlantıya tıklayan kişiler, ilerici bir Web uygulaması (PWA) veya Web APK (Android Paketi) bankacılık kimlik bilgilerini çalarak saldırgana gönderen bir kimlik avı gerçekleştirdi. Saldırganlar uzun zamandır benzer uygulamaları kullandı Google Play mağazasında kullanıcıların bankacılık bilgilerini ifşa etmelerini sağlamak için kullanılıyor.
Tehdit aktörü daha sonra potansiyel kurbanı arayarak, kendisini bir banka çalışanı gibi göstererek, hesabıyla ilgili bir güvenlik olayı hakkında bilgi veriyor ve PIN kodunu değiştirmesini ve kartını doğrulamasını istiyor.
Sosyal mühendislik tuzağına düşen kurbanlar, NGate’i indirmek için bir bağlantı alıyor ve ardından NGate, dolandırıcılık amaçlı ATM çekimlerini mümkün kılan bir dizi adımı gerçekleştiriyor.
ESET, “NGate yüklendikten ve açıldıktan sonra kullanıcının bankacılık bilgilerini isteyen ve ardından saldırganın sunucusuna gönderilen sahte bir web sitesi görüntüler” dedi. Kötü amaçlı yazılım, kurbanlardan bankacılık istemci kimliklerini, doğum tarihlerini, banka kartlarının PIN kodunu ve diğer hassas bilgileri girmelerini ister. Ayrıca kurbanlardan akıllı telefonlarında NFC özelliğini etkinleştirmelerini ve kötü amaçlı uygulama kartı tanıyana kadar ödeme kartlarını akıllı telefonlarının arkasına koymalarını ister, dedi ESET.
Bu noktada, NGate kurbanın kartından NFC verilerini yakalar ve bir sunucu aracılığıyla saldırganın Android cihazına gönderir. Saldırganın Android telefonunun, aktarılan verileri kullanabilmesi için köklenmesi veya çekirdek düzeyinde tehlikeye atılması gerekir. NFC verileri saldırganın kurbanın kartını akıllı telefonuna kopyalamasına ve NFC özelliğini destekleyen ATM’lerden ödeme yapmak ve para çekmek için kullanmasına olanak tanır.
ESET, bu yöntemin başarısız olması durumunda saldırganın geri dönüş yolunun, mağdurun daha önce sağladığı banka hesap bilgilerini kullanarak parayı mağdurun hesabından diğer bankalara aktarmak olduğunu belirtti.
Stefanko, saldırganın NGate olmadan kurbanın hesabından para çalabileceğini, sadece kurbandan elde etmeyi başardıkları bankacılık bilgilerini kullanabileceğini söylüyor. Ancak bu biraz daha karmaşık olurdu, çünkü önce parayı hesaplarına aktarmaları ve parayı bir ATM’den çekmek için bir katır kullanmaları gerekirdi. NGate, dolandırıcılık amaçlı ATM çekimlerine olanak sağladığı için, bir saldırgan kendi hesaplarına kadar bir iz bırakmadan kurbanın hesabından para çalabilirdi.
Diğer Kötü Amaçlı Kullanım Örnekleri
Saldırganlar, NGate gibi kötü amaçlı yazılımları kullanarak, ya fiziksel erişim elde ederek ya da kullanıcıları kandırarak etiketi tehlikeye atılmış bir Android telefonun arkasına yerleştirerek herhangi bir NFC etiketinden veya belirtecinden veri yakalayabilir ve iletebilir. Güvenlik satıcısı, “Testlerimiz sırasında, genellikle toplu taşıma biletleri, kimlik rozetleri, üyelik veya öğrenci kartları ve benzeri kullanım durumları için kullanılan bir MIFARE Classic 1K etiketinden UID’yi başarıyla ilettik,” dedi ve bir saldırganın bir konumda bir NFC belirtecini hazırlayıp verilerini taklit ederek farklı bir konumdaki tesislere erişebildiği durumlarda da iletme saldırıları gerçekleştirmenin mümkün olduğunu ekledi.