Polonya Bilgisayar Acil Durum Müdahale Ekibi (CERT Polska), yetkisiz ATM’lerden nakit çekme işlemleri gerçekleştirmek ve kurbanların banka hesaplarını boşaltmak için NFC teknolojisini kullanan yeni bir Android tabanlı kötü amaçlı yazılımı analiz etti.
Araştırmacılar, NGate adı verilen kötü amaçlı yazılımın, saldırganların, kartları fiziksel olarak çalmadan, kurbanların telefonlarından sızdırılan bankacılık verilerini kullanarak ATM’lerden (Otomatik Para Çekme Makineleri veya bankamatikler) nakit çekmesine olanak tanıdığını buldu.
NFC, akıllı telefonlar, ödeme kartları ve terminaller gibi cihazların birbirine çok yakın olduklarında iletişim kurmasını sağlayan kablosuz bir teknolojidir. Yani saldırganlar, banka kartınızı çalmak yerine, NGate kötü amaçlı yazılımının bulaştığı bir cep telefonundaki NFC (Yakın Alan İletişimi) etkinliğini yakalıyor ve bu işlem verilerini ATM’lerdeki cihazlara iletiyor. NGate vakasında, çalınan veriler yalnızca radyo yoluyla iletilmek yerine ağ üzerinden saldırganların sunucularına gönderiliyor.
NFC’nin birkaç “tadı” vardır. Bazıları statik bir kod üretiyor; örneğin apartmanımın kapısını açan kart. Bu tür bir sinyal “Flipper Zero” gibi bir cihaza kolayca kopyalanabilir, böylece kapıyı açmak için bunu kullanabilirim. Ancak gelişmiş temassız ödeme kartları (Visa veya Mastercard banka ve kredi kartlarınız gibi) dinamik kodlar kullanır. NFC’yi her kullandığınızda, kartınızın çipi, yeniden kullanılamayan ve her seferinde farklı olan benzersiz, tek seferlik bir kod (genellikle kriptogram veya jeton olarak adlandırılır) üretir.
İşte bu, NGate kötü amaçlı yazılımını daha karmaşık hale getiriyor. Sadece kartınızdan bir sinyal almaz. Telefona virüs bulaşmış olmalı ve kurban, ödeme için dokundurma veya kart doğrulama işlemi gerçekleştirmesi ve PIN’ini girmesi için kandırılmalıdır. Bu gerçekleştiğinde uygulama, yalnızca kart numarasını değil, aynı zamanda yeni tek kullanımlık kodları ve o anda oluşturulan diğer ayrıntıları da içeren, değiştirilen tüm gerekli NFC işlem verilerini yakalar.
Kötü amaçlı yazılım daha sonra PIN dahil tüm NFC verilerini anında saldırganın cihazına gönderir. Kodlar yeni oluşturulduğundan ve yalnızca kısa bir süre için geçerli olduğundan, saldırgan bunları hemen ATM’deki kartınızı taklit etmek için kullanır; ATM’deki suç ortağı, yakalanan verileri telefon, akıllı saat veya özel donanım gibi kart taklit eden bir cihaz kullanarak sunar.
Ancak tahmin edebileceğiniz gibi, veriler geldiğinde ATM’nin başında hazır olmak planlama ve sosyal mühendislik gerektirir.
Öncelikle saldırganların kötü amaçlı yazılımı kurbanın cihazına yerleştirmesi gerekiyor. Genellikle potansiyel kurbanlara kimlik avı e-postaları veya SMS mesajları gönderirler. Bunlar genellikle banka hesaplarında bir güvenlik veya teknik sorun olduğunu iddia ederek endişe veya aciliyet yaratmaya çalışıyor. Bazen bankadanmış gibi davranarak bir telefon görüşmesi yapıyorlar. Bu mesajlar veya çağrılar, mağdurları Google Play yerine doğrudan bağlantı gibi resmi olmayan bir kaynaktan sahte bir “bankacılık” uygulaması indirmeye yönlendiriyor.
Uygulama uygulaması yüklendikten sonra izin istiyor ve kurbanları sahte “kart doğrulama” adımlarıyla yönlendiriyor. Amaç, suç ortağı para çekmek için ATM’de beklerken mağdurların hızlı ve güvenilir bir şekilde hareket etmesini sağlamaktır.
Nasıl güvende kalınır?
NGate yalnızca telefonunuza virüs bulaştığında ve sahte bankacılık uygulamasında dokun-öde işlemi başlatıp PIN’inizi girerek kandırıldığınızda çalışır. Bu kötü amaçlı yazılımdan korunmanın en iyi yolu telefonunuzu korumak ve sosyal mühendislik konusunda dikkatli olmaktır:
- Güvenilir kaynaklara sadık kalın. Uygulamaları yalnızca Google Play’den, Apple App Store’dan veya resmi sağlayıcıdan indirin. Bankanız asla sizden başka bir kaynak kullanmanızı istemeyecektir.
- Cihazlarınızı koruyun. Bu kötü amaçlı yazılımı zaten tespit eden Malwarebytes for Android gibi güncel, gerçek zamanlı bir kötü amaçlı yazılımdan koruma çözümü kullanın.
- İstenmeyen arayanlarla iletişime geçmeyin. Birisi bankanızdan olduğunu iddia ederse, ona kayıtlı numaradan geri arayacağınızı söyleyin.
- Şüpheli metinleri dikkate almayın. Ne kadar zararsız veya acil görünürse görünsün, istenmeyen mesajlara yanıt vermeyin veya bu mesajlara göre hareket etmeyin.
Android için Malwarebytes bu bankacılık Truva atlarını Android/Trojan.Spy.NGate.C olarak algılar; Android/Trojan.Agent.SIB01022b454eH140; Android/Trojan.Agent.SIB01c84b1237H62; Android/Trojan.Spy.Generic.AUR9552b53bH2756 ve Android/Trojan.Banker.AURf26adb59C19.
Yalnızca telefon güvenliği hakkında rapor vermiyoruz; bunu sağlıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. iOS için Malwarebytes’i ve Android için Malwarebytes’i bugün indirerek tehditleri mobil cihazlarınızdan uzak tutun.