Yeni Android Kötü Amaçlı Yazılımı NGate, Temassız Ödeme Kartlarını Kopyalamak İçin NFC Verilerini Çalıyor


26 Ağu 2024Ravie LakshmananFinansal Dolandırıcılık / Mobil Güvenlik

Temassız Ödeme Kartlarını Klonlayın

Siber güvenlik araştırmacıları, kurbanların fiziksel kredi ve banka kartlarındaki temassız ödeme verilerini, dolandırıcılık operasyonları yürütme amacıyla saldırganların kontrolündeki bir cihaza aktarabilen yeni bir Android kötü amaçlı yazılımını ortaya çıkardı.

Slovak siber güvenlik şirketi, yeni zararlı yazılımı NGate olarak takip ediyor ve Çekya’daki üç bankayı hedef alan suç yazılımı saldırısını gözlemlediğini belirtiyor.

Araştırmacılar Lukáš Štefanko ve Jakub Osmani, yaptıkları analizde, kötü amaçlı yazılımın “kurbanların ödeme kartlarındaki verileri, Android cihazlarına yüklenen kötü amaçlı bir uygulama aracılığıyla saldırganın root erişimli Android telefonuna aktarma gibi benzersiz bir yeteneğe sahip” olduğunu söyledi.

Etkinlik, Kasım 2023’ten beri kötü amaçlı ilerici web uygulamaları (PWA’lar) ve WebAPK’lar kullanarak Çekya’daki finansal kuruluşları hedef aldığı tespit edilen daha geniş bir kampanyanın parçasıdır. NGate’in ilk kaydedilen kullanımı Mart 2024’teydi.

Siber Güvenlik

Saldırıların nihai amacı, NGate kullanarak kurbanların fiziksel ödeme kartlarından yakın alan iletişimi (NFC) verilerini klonlamak ve bu bilgileri, orijinal kartı taklit ederek bir ATM’den para çeken bir saldırgan cihazına iletmektir.

NGate’in kökeni, ilk olarak 2015 yılında TU Darmstadt’taki Güvenli Mobil Ağ Laboratuvarı öğrencileri tarafından güvenlik araştırmaları amacıyla geliştirilen NFCGate adlı meşru bir araca dayanmaktadır.

Temassız Ödeme Kartlarını Klonlayın

Saldırı zincirlerinin, kullanıcıları Google Play mağazasında bulunan meşru bankacılık sitelerini veya resmi mobil bankacılık uygulamalarını taklit eden kısa ömürlü etki alanlarına yönlendirerek NGate yüklemeleri için kandırmayı amaçlayan sosyal mühendislik ve SMS kimlik avı yöntemlerinin bir kombinasyonunu içerdiği düşünülüyor.

Kasım 2023 ile Mart 2024 arasında bugüne kadar altı farklı NGate uygulaması tespit edildi. Bu dönemde faaliyetler, büyük ihtimalle Çek yetkililer tarafından ATM’lerden para çalmakla bağlantılı olarak 22 yaşındaki bir gencin tutuklanmasının ardından durduruldu.

NGate, NFC trafiğini yakalamak ve başka bir cihaza iletmek için NFCGate’in işlevselliğini kötüye kullanmanın yanı sıra, kullanıcılardan bankacılık müşteri kimliği, doğum tarihi ve bankacılık kartlarının PIN kodu gibi hassas finansal bilgileri girmelerini ister. Kimlik avı sayfası bir WebView içinde sunulur.

Araştırmacılar, “Ayrıca akıllı telefonlarında NFC özelliğini açmalarını istiyor,” dedi. “Ardından, kurbanlara kötü amaçlı uygulama kartı tanıyana kadar ödeme kartlarını akıllı telefonlarının arkasına koymaları talimatı veriliyor.”

Android Kötü Amaçlı Yazılım NGate

Saldırılar, kurbanların SMS mesajları aracılığıyla gönderilen bağlantılarla PWA veya WebAPK uygulamasını yükledikten sonra kimlik bilgilerinin çalınması ve ardından banka çalışanı gibi davranan ve uygulamayı yükledikleri için banka hesaplarının tehlikeye girdiğini bildiren tehdit aktöründen telefon almaları şeklinde sinsi bir yaklaşım benimsiyor.

Daha sonra PIN kodlarını değiştirmeleri ve banka kartlarını farklı bir mobil uygulama (yani NGate) kullanarak doğrulamaları talimatı verilir ve bu uygulamaya bir yükleme bağlantısı da SMS ile gönderilir. Bu uygulamaların Google Play Store aracılığıyla dağıtıldığına dair bir kanıt yoktur.

Siber Güvenlik

Araştırmacılar, “NGate işlemlerini kolaylaştırmak için iki ayrı sunucu kullanıyor,” diye açıkladı. “Birincisi, kurbanları hassas bilgiler vermeye çekmek için tasarlanmış ve bir NFC röle saldırısı başlatma kapasitesine sahip bir kimlik avı web sitesi. İkincisi, NFC trafiğini kurbanın cihazından saldırganın cihazına yönlendirmekle görevli bir NFCGate röle sunucusu.”

Açıklama, Zscaler ThreatLabz’ın, sesli kimlik avı (vishing) saldırılarıyla yayılan ve kullanıcıları banka hesap bilgilerini girmeye ikna eden Copybara adlı bilinen bir Android bankacılık trojanının yeni bir türünü ayrıntılı olarak açıklamasının ardından geldi.

Ruchna Nigam, “Copybara’nın bu yeni çeşidi Kasım 2023’ten beri aktif ve komuta ve kontrol (C2) sunucusuyla iletişim kurmak için MQTT protokolünü kullanıyor” dedi.

“Kötü amaçlı yazılım, enfekte cihaz üzerinde ayrıntılı kontrol sağlamak için Android cihazlara özgü erişilebilirlik hizmeti özelliğini kötüye kullanır. Arka planda, kötü amaçlı yazılım ayrıca logolarını ve uygulama adlarını kullanarak popüler kripto para borsalarını ve finans kuruluşlarını taklit eden kimlik avı sayfalarını indirmeye devam eder.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link