NGate olarak adlandırılan gelişmiş Android tabanlı NFC aktarma saldırısı, eşgüdümlü sosyal mühendislik ve teknik istismar yoluyla finansal kurumları ve onların müşterilerini hedef alarak Polonya genelinde bankacılık güvenliğine yönelik ciddi bir tehdit olarak ortaya çıktı.
Cert.PL analistleri, son aylarda, ödeme kartlarının fiziksel olarak çalınmasını gerektirmeden yetkisiz ATM’lerden nakit çekme işlemlerini düzenleyen yeni kötü amaçlı yazılım örnekleri tespit etti.
Tehdit aktörleri, kartları doğrudan çalmak yerine, kurbanların Android telefonlarından NFC iletişimini yakalayan ve bunu ATM’lerde bulunan, saldırgan tarafından kontrol edilen cihazlara ileten bir aktarma mekanizması kullanıyor.
Saldırı zinciri, başarılı olmak için birden fazla aldatma taktiğini birleştirir. Kurbanlar başlangıçta e-posta veya SMS yoluyla teknik sorunlar veya güvenlik olaylarını iddia eden ve onları sahte bir bankacılık uygulaması yüklemeye yönlendiren kimlik avı mesajları alıyor.
Kurulumun ardından dolandırıcılar, kimlik doğrulaması talep eden telefon çağrıları yoluyla banka çalışanlarının kimliğine bürünerek sahte uygulamayı daha da meşrulaştırıyor.
Daha sonra kurbandan, ekrandaki tuş takımı aracılığıyla PIN’ini girerken doğrulama amacıyla fiziksel ödeme kartını telefona dokundurması isteniyor.
Cert.PL analistleri, NGate’in operasyonlarının altında yatan karmaşık teknik mimariye dikkat çekti.
Kurban kartına dokunduğunda, kötü amaçlı yazılım, yasal terminal iletişimleriyle aynı olan tüm NFC alışverişlerini yakalar ve bunları saldırganın IP 91.84.97.13:5653 adresinde çalışan C2 sunucusuna iletir.
.webp)
Saldırganın cihazı daha sonra bu verileri ATM’ye tekrar gönderiyor ve hem kart bilgileri hem de PIN zaten ele geçirilmiş durumdayken yetkisiz nakit çekme işlemi gerçekleştiriyor.
Enfeksiyon mekanizması
Enfeksiyon mekanizması gelişmiş kaçınma tekniklerini ortaya çıkarıyor. Uygulama kendisini Android’de bir Ana Kart Emülasyonu (HCE) ödeme hizmeti olarak kaydederek sanal kart olarak işlev görmesini sağlar.
C2 sunucu adresini içeren yapılandırma verileri, uygulama içinde paketlenmiş şifrelenmiş bir varlıkta gizli kalır.
Bu şifreleme, Android PackageManager’dan sertifika verilerini alan JNI işlev çağrıları aracılığıyla türetilen APK imzalama sertifikasının SHA-256 karmasını bir XOR anahtarı olarak kullanır.
Teknik analiz, uygulamanın uzunluk işaretleri ve işlem kodları içeren çerçeveli bir protokol yapısı kullanarak açık metin TCP bağlantıları kurduğunu gösteriyor.
Kötü amaçlı yazılım, özel protokol mesajları yoluyla PIN bilgilerini hemen sızdırmadan önce PAN, son kullanma tarihleri, AID’ler ve APDU’lar dahil olmak üzere kart verilerini yakalıyor.
Kullanıcılar, bankacılık uygulamalarını yalnızca resmi mağazalardan indirerek ve beklenmedik banka çağrılarını finans kurumlarıyla doğrudan iletişim kurarak doğrulayarak kendilerini koruyabilirler.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
