ESET araştırmacıları, Android cihazlara yüklenen kötü amaçlı bir uygulama aracılığıyla kurbanların ödeme kartlarındaki verileri saldırganın root erişimli Android telefonuna aktarabilen NGate adlı kötü amaçlı yazılımı ortaya çıkardı.
Saldırı genel bakışı (Kaynak: ESET)
Yetkisiz ATM çekimleri
Kampanyanın bankaları hedeflemesindeki birincil amacı, kurbanların banka hesaplarından yetkisiz ATM çekimlerini kolaylaştırmaktı. Bu, kurbanların fiziksel ödeme kartlarından gelen NFC verilerinin, NGate Android kötü amaçlı yazılımını kullanarak, tehlikeye atılmış Android akıllı telefonları aracılığıyla saldırganın cihazına aktarılmasıyla gerçekleştirildi.
Saldırgan daha sonra bu verileri ATM işlemlerini gerçekleştirmek için kullandı. Bu yöntem başarısız olursa, saldırganın kurbanların hesaplarından diğer banka hesaplarına para aktarmak için bir geri dönüş planı vardı.
“Daha önce keşfedilen hiçbir Android kötü amaçlı yazılımında bu yeni NFC röle tekniğini görmedik. Teknik, Almanya’daki Darmstadt Teknik Üniversitesi’ndeki öğrenciler tarafından NFC trafiğini yakalamak, analiz etmek veya değiştirmek için tasarlanan NFCGate adlı bir araca dayanıyor; bu nedenle bu yeni kötü amaçlı yazılım ailesine NGate adını verdik,” diyor yeni tehdit ve tekniği keşfeden Lukáš Štefanko.
NGate Android kötü amaçlı yazılım etkinliği
Mağdurlar, bankalarıyla iletişim kurduklarını ve cihazlarının tehlikeye atıldığını düşünerek aldatıldıktan sonra kötü amaçlı yazılımı indirip yüklediler. Gerçekte, mağdurlar daha önce olası bir vergi beyannamesi hakkında aldatıcı bir SMS mesajındaki bir bağlantıdan bir uygulamayı indirip yükleyerek bilmeden kendi Android cihazlarını tehlikeye atmışlardı.
NGate’in hiçbir zaman resmi Google Play mağazasında bulunmadığını belirtmek önemlidir.
NGate Android kötü amaçlı yazılımı, Kasım 2023’ten beri Çekya’da faaliyet gösteren bir tehdit aktörünün kimlik avı faaliyetleriyle ilgilidir. Ancak ESET, bu faaliyetlerin Mart 2024’te bir şüphelinin tutuklanmasının ardından askıya alındığına inanıyor. ESET Research, tehdit aktörünün ilk olarak Kasım 2023’ün sonunda önde gelen Çek bankalarının müşterilerini hedef aldığını fark etti. Kötü amaçlı yazılım, Google Play mağazasında meşru bankacılık web sitelerini veya resmi mobil bankacılık uygulamalarını taklit eden kısa ömürlü alan adları aracılığıyla iletildi.
Saldırganlar, ilerici web uygulamalarının (PWA’lar) potansiyelinden yararlandılar ve daha sonra WebAPK’ler olarak bilinen daha sofistike bir PWA sürümü kullanarak stratejilerini geliştirdiler. Sonunda, operasyon NGate kötü amaçlı yazılımının dağıtımıyla sonuçlandı.
Kişisel bilgilerin toplanması
Mart 2024’te ESET Research, NGate Android kötü amaçlı yazılımının daha önce kötü amaçlı PWA’lar ve WebAPK’lar sunan kimlik avı kampanyalarını kolaylaştırmak için kullanılan dağıtım etki alanlarında kullanılabilir hale geldiğini keşfetti. NGate yüklendikten ve açıldıktan sonra kullanıcının bankacılık bilgilerini isteyen sahte bir web sitesi görüntüler ve bu bilgiler daha sonra saldırganın sunucusuna gönderilir.
NGate kötü amaçlı yazılımı, kimlik avı yeteneklerinin yanı sıra, NFCGate adlı bir araçla birlikte gelir ve bu araç, iki cihaz arasında NFC verilerini iletmek için kötüye kullanılır – kurbanın cihazı ve failin cihazı. Bu özelliklerden bazıları yalnızca köklü cihazlarda çalışır; ancak bu durumda, köklü olmayan cihazlardan da NFC trafiğini iletmek mümkündür.
NGate ayrıca kurbanlarını bankacılık müşteri kimlikleri, doğum tarihleri ve banka kartlarının PIN kodu gibi hassas bilgileri girmeye yönlendirir. Ayrıca akıllı telefonlarında NFC özelliğini açmalarını ister. Daha sonra kurbanlara, kötü amaçlı uygulama kartı tanıyana kadar ödeme kartlarını akıllı telefonlarının arkasına koymaları talimatı verilir.
Ödeme kartlarına fiziksel erişim
NGate kötü amaçlı yazılımının kullandığı tekniğe ek olarak, ödeme kartlarına fiziksel erişimi olan bir saldırgan bunları kopyalayabilir ve taklit edebilir. Bu teknik, özellikle halka açık ve kalabalık yerlerde, kartların tutulduğu gözetimsiz çantalar, cüzdanlar, sırt çantaları veya akıllı telefon kılıfları aracılığıyla kartları okumaya çalışan bir saldırgan tarafından kullanılabilir. Ancak bu senaryo genellikle terminal noktalarında küçük temassız ödemeler yapmakla sınırlıdır.
“Bu tür karmaşık saldırılara karşı koruma sağlamak, kimlik avı, sosyal mühendislik ve Android kötü amaçlı yazılımları gibi taktiklere karşı belirli proaktif adımların kullanılmasını gerektirir. Bu, web sitelerinin URL’lerini kontrol etmek, resmi mağazalardan uygulama indirmek, PIN kodlarını gizli tutmak, akıllı telefonlarda güvenlik uygulamaları kullanmak, ihtiyaç duyulmadığında NFC işlevini kapatmak, koruyucu kılıflar kullanmak veya kimlik doğrulamasıyla korunan sanal kartlar kullanmak anlamına gelir,” diye tavsiyede bulunuyor Štefanko.