Bezpečnostní experti z ESETu odhalili sofistikovanú kybernetickú kampaň zameranú na zákazníkov troch českých bánk. Zložitý malvér s označením NGate disponuje schopnosťou extrahovať zo zariadení citlivé informácie z platobných kariet a preniesť ich do zariadenia útočníka s rootnutým systémom.

Phishingová aktivita začína odoslaním falošnej SMS o vrátení daní, na ktorú obeť klikne a otvorí priložený link. Po nainštalovaní škodlivej aplikácie začne nevedomky kompromitovanie údajov zo zariadenia s Androidom do Android zariadenia zločincov.

ESET

Pozor na nebezpečný malvér

Hlavným cieľom kybernetických zločincov bolo umožniť neoprávnené výbery z bankomatov z bankových účtov obetí. To útočník dosiahol prenosom údajov z fyzických platobných kariet obetí prostredníctvom ich kompromitovaných Android smartfónov pomocou škodlivého softvéru NGate do zariadenia útočníka.

Malvér NGate je úzko spätý s phishingovými aktivitami, ktoré od novembra 2023 ohrozovali klientov významných českých bánk. Kybernetickí zločinci využívali falošné webové stránky a aplikácie na lákanie obetí.

Kyberzločinci inovujú

Analytici spoločnosti ESET odhalili novú metódu, ktorá zneužíva progresívne webové aplikácie (PWA) na krádež citlivých údajov z mobilných zariadení s operačnými systémami Android a iOS. Ide o obzvlášť nebezpečnú metódu, pretože umožňuje útočníkom nainštalovať škodlivú aplikáciu bez toho, aby o tom používatelia vôbec vedeli.

PWA sú hybridné aplikácie, ktoré fungujú podobne ako bežné mobilné aplikácie, no v skutočnosti ide o webové stránky. Vďaka tomu sú multiplatformové a môžu byť ľahko prispôsobené pre rôzne operačné systémy, vrátane Androidu a iOS. Na zariadeniach s Androidom môžu byť tieto aplikácie dokonca inštalované ako WebAPK, čo z nich robí ešte komplikovanejšie odhaliteľnú hrozbu – takéto aplikácie sa totiž na prvý pohľad javia ako plne dôveryhodné a legitímne.

Útočníci využívajú na šírenie škodlivých odkazov rôzne metódy vrátane automatizovaných telefonátov, SMS správ a reklamných kampaní na sociálnych sieťach, ako sú Facebook a Instagram. Tieto reklamy často imitujú oficiálnu komunikáciu od banky, pričom sľubujú finančnú odmenu alebo upozorňujú na potrebu aktualizácie aplikácie. O celej téme sme písali v tomto článku.

V prípade neúspechu primárneho plánu mali útočníci pripravený záložný plán na prevod finančných prostriedkov z účtov obetí na iné bankové účty.

„Túto novú techniku prenosu NFC sme nezaznamenali v žiadnom predtým objavenom škodlivom softvéri pre Android. Technika je založená na nástroji NFCGate, ktorý navrhli študenti Technickej univerzity v nemeckom Darmstadte na zachytávanie, analýzu alebo zmenu prevádzky NFC. Preto sme túto novú rodinu malvéru pomenovali NGate,“ hovorí Lukáš Štefanko, výskumník spoločnosti ESET, ktorý novú hrozbu a techniku objavil.

Má ešte jednu nebezpečnú funkciu

Možnosť phishingu nie je jediný zámer malvéru NGate. Obsahuje aj nástroj NFCGate, ktorý sa zneužíva na prenos údajov NFC medzi dvoma zariadeniami – zariadením obete a zariadením páchateľa.  Niektoré z týchto funkcií fungujú len na rootnutých zariadeniach, v tomto prípade je však možné prenášať prevádzku NFC aj zo zariadení, ktoré neboli rootnuté.

NGate tiež vyzýva svoje obete, aby zadali citlivé informácie, ako je bankové ID klienta, dátum narodenia a PIN k bankovej karte. Zároveň ich žiada, aby na svojich smartfónoch zapli funkciu NFC. Potom sú obete inštruované, aby priložili svoju platobnú kartu k zadnej strane smartfónu, kým škodlivá aplikácia kartu nerozpozná.

Okrem techniky, ktorú používa malvér NGate, môže útočník s fyzickým prístupom k platobným kartám tieto karty kopírovať a napodobňovať. Túto techniku by mohol použiť útočník, ktorý sa pokúša čítať karty v kabelkách, peňaženkách, batohoch alebo obaloch na smartfóny, v ktorých sú uložené karty, najmä na verejných a preplnených miestach. Tento scenár je však vo všeobecnosti obmedzený na vykonávanie malých bezkontaktných platieb na miestach s terminálmi.

Pošli nám TIP na článok



Teraz čítajú