Siber güvenlik araştırmacıları Fantomcard Bu, Brezilya’daki bankacılık müşterilerini hedefleyen saldırılarda hileli işlemleri kolaylaştırmak için röle saldırıları yapmak için sahaya yakın iletişimi (NFC) kötüye kullanıyor.
TehditFabric bir raporda, “Phantomcard, NFC verilerini bir kurbanın bankacılık kartından dolandırıcının cihazına aktarıyor.” Dedi. “Phantomcard, Çin’in orijinal NFC rölesi hizmet olarak kötü amaçlı yazılımlara dayanıyor.”
Kart koruması için uygulamaları taklit eden sahte Google Play Web sayfaları aracılığıyla dağıtılan Android kötü amaçlı yazılım, “Proteção Cartões” (Com.nfupay.s145 “veya” com.rc88.baxi.english “paket adı ile gider.
Sahte sayfalarda kurbanları uygulamayı yüklemeye ikna etmek için aldatıcı olumlu incelemeler de bulunuyor. Şu anda bu sayfalara bağlantıların nasıl dağıtıldığı bilinmemektedir, ancak muhtemelen smaching veya benzer bir sosyal mühendislik tekniğini içerir.
Uygulama yüklendikten ve açıldıktan sonra, mağdurlardan doğrulama işlemine başlamak için kurbanlardan kredi/banka kartlarını telefonun arkasına yerleştirmelerini ister, bu noktada kullanıcı arayüzü “Kart algılanan! Kimlik doğrulama tamamlanana kadar kartı yakındaki tutun.”
Gerçekte, kart verileri, modern cihazlarda yerleşik yerleşik NFC okuyucudan yararlanarak saldırgan kontrollü bir NFC röle sunucusuna aktarılır. Phantomcard bağllı uygulaması daha sonra kurbandan, işlemin doğrulanması için bilgileri siber suçlulara iletmek amacıyla PIN koduna girmesini ister.
“Sonuç olarak, Phantomcard kurbanın fiziksel kartı ile siber suçun yanında olduğu POS terminali / ATM arasında bir kanal kurar.” Diyerek şöyle devam etti: “Siber suçlunun kurbanın kartını sanki elindeymiş gibi kullanmasına izin veriyor.”
Supercard X’e benzer şekilde, katır tarafında çalınan kart bilgilerini almak ve POS terminali ile kurbanın kartı arasında sorunsuz iletişim sağlamak için cihazlarına yüklenen eşdeğer bir uygulama var.
Hollanda güvenlik şirketi, kötü amaçlı yazılımların arkasındaki aktörün Go1ano geliştiricisinin, Brezilya’daki Android tehditlerinin “seri” bir satıcısı olduğunu ve Phantomcard’ın aslında Telegram’da reklamı yapılan NFU Pay olarak bilinen bir Çin malware sunan el işçiliği olduğunu söyledi.
Go1ano geliştiricisi, kendi telgraf kanallarında, Phantomcard’ın küresel olarak çalıştığını iddia ediyor, bunun% 100 tespit edilemez olduğunu ve tüm NFC özellikli satış noktası (POS) terminal cihazlarıyla uyumlu olduğunu belirtiyor. Ayrıca ülkedeki BTMOB ve Ghostspy gibi diğer kötü amaçlı yazılım aileleri için “güvenilir bir ortak” olduğunu iddia ediyorlar.
NFU Pay’ın yeraltında satılan SuperCard X, KingNFC ve X/Z/TX-NFC gibi benzer NFC röle yetenekleri sunan birçok yasadışı hizmetten biri olduğunu belirtmek gerekir.
TehditFabr “,” Bu tür tehdit aktörleri, dünyanın her yerinden daha geniş çeşitli tehditler için kapıları açarken, dil ve kültürel engeller, finansal sistem özellikleri, nakit çıkış yollarının eksikliği nedeniyle kapıları açtıkları için yerel finansal kuruluşlar için ek riskler oluşturmaktadır. “Dedi.
Diyerek şöyle devam etti: “Sonuç olarak bu, yerel finansal kuruluşlar için tehdit ortamını karmaşıklaştırıyor ve örgütü hedefleyen küresel tehditlerin ve aktörlerin doğru izlenmesini istiyor.”
Geçen ay Filipinler’deki NFC özellikli sahtekarlıkta bir artışla ilgili olarak yayınlanan bir raporda, Güneydoğu Asya’nın NFC sahtekarlığı için bir test alanı haline geldiğini ve bölgesel bankaları ve finansal hizmet sağlayıcılarını hedefleyen kötü aktörlerin bir test alanı haline geldiğini söyledi.
Resecurity, “Z-NFC, X-NFC, Supercard X ve Track2NFC gibi araçlarla saldırganlar, çalıntı kart verilerini klonlayabilir ve NFC özellikli cihazlar kullanarak yetkisiz işlemler yapabilir.” Dedi.
“Bu araçlar yeraltı forumlarında ve özel mesajlaşma gruplarında yaygın olarak mevcuttur. Sonuçta ortaya çıkan sahtekarlığın tespit edilmesi zordur, çünkü işlemler güvenilir, kimliği doğrulanmış cihazlardan kaynaklanıyor gibi görünmektedir. Filipinler gibi pazarlarda, temassız ödeme kullanımının yükseldiği ve düşük değerli işlemlerin genellikle pin doğrulamasını atladığı, bu tür saldırıların gerçek zaman içinde izlenmesi ve durması zordur.”
Açıklama, K7 Security, bir müşteri yardımı hizmeti uygulaması kisvesi altında WhatsApp aracılığıyla kullanıcılara dağıtılan Hintli bankacılık kullanıcılarını hedefleyen Spybanker olarak adlandırılan bir Android kötü amaçlı yazılım kampanyası ortaya çıkardı.
Şirket, “İlginç bir şekilde, bu Android Spybanker kötü amaçlı yazılım, ‘CallForwardingservice’ adlı bir hizmeti kaydederek ve kullanıcının çağrılarını yönlendirerek ‘çağrı yönlendirme numarasını’ saldırgan tarafından kontrol edilen sabit kodlu bir cep telefonu numarasına düzenler.” Dedi. Diyerek şöyle devam etti: “Katılımsız bırakıldığında kurbanlara gelen çağrılar, istenen kötü niyetli faaliyetleri gerçekleştirmek için çağrı yönlendirilen numaraya yönlendirilir.”
Ayrıca, kötü amaçlı yazılım, mağdurların SIM ayrıntılarını, hassas bankacılık bilgilerini, SMS mesajlarını ve bildirim verilerini toplamak için yeteneklerle donatılmıştır.
Hintli bankacılık kullanıcıları, finansal bilgileri sifonlamak için tasarlanmış Android kötü amaçlı yazılım tarafından da hedeflendi ve aynı zamanda XMRIG kripto para madencisini tehlikeye atılan cihazlara bıraktı. Kötü niyetli kredi kartı uygulamaları, resmi bankacılık web sitelerinden alınan gerçek varlıkları kullanan ikna edici kimlik avı sayfalarıyla dağıtılır.
Kötü amaçlı uygulamaların listesi aşağıdaki gibidir –
- Axis Bank Kredi Kartı (com.nwilfxj.fxkdr)
- ICICI Bank Kredi Kartı (com.nwilfxj.fxkdr)
- IndusInd Kredi Kartı (com.nwilfxj.fxkdr)
- Hindistan Devlet Bankası Kredi Kartı (com.nwilfxj.fxkdr)
Kötü amaçlı yazılım, mağdurları adlar, kart numaraları, CVV kodları, son kullanma tarihleri ve cep telefonu numaraları dahil olmak üzere kişisel bilgilerini girmeye teşvik eden sahte bir kullanıcı arayüzü görüntülemek için tasarlanmıştır. Uygulamanın dikkate değer bir yönü, madencilik sürecini tetiklemek için Firebase Bulut Mesajlaşma (FCM) aracılığıyla gönderilen belirli mesajları dinleme yeteneğidir.
McAfee araştırmacısı Dexter Shin, “Bu kimlik avı siteleri aracılığıyla sunulan uygulama bir damlalık olarak işlev görüyor, yani başlangıçta zararsız görünüyor, ancak daha sonra dinamik olarak yüklüyor ve gerçek kötü niyetli yükü yürütüyor.” Dedi. “Bu teknik statik tespitten kaçmaya yardımcı olur ve analizi karmaşıklaştırır.”
“Bu kimlik avı sayfaları, resmi web sitelerinden meşru görünmek için doğrudan resmi web sitelerinden görüntüleri, javaScript’i ve diğer web kaynaklarını yükler. Ancak, kullanıcıları kötü amaçlı APK dosyasını yüklemeye yönlendiren ‘Uygulama’ veya ‘İndir’ düğmeleri gibi ek unsurlar içerir.”
Bulgular ayrıca Zimperium Zlabs’ın Kernelsu, Apatch ve Skroot gibi köklü çerçevelerin kök erişimini kazanmak ve ayrıcalıkları artırmak için nasıl kullanılabileceğini ve bir saldırganın Android cihazları tam kontrolünü kazanmasına izin veren bir rapor izliyor.
Mobil güvenlik şirketi, 2023’ün ortalarında Kernelsu’da (sürüm 0.5.7) bir güvenlik kusuru keşfettiğini, saldırganların Kernelsu yöneticisi olarak kimlik doğrulaması yapmasına izin verebileceğini ve resmi Kernelsu yöneticisi Apk’ü bir araya getiren kötü niyetli bir uygulama aracılığıyla tamamen köklü bir Android cihazını tamamen tehlikeye atabileceğini söyledi.
Bununla birlikte, bu saldırıyı çıkarmak için önemli bir uyarı, ancak tehdit oyuncusu uygulamasının meşru Kernelsu yöneticisi uygulamasından önce yürütülmesi durumunda etkili olmasıdır.
Güvenlik araştırmacısı Marcel Bathke, “Sistem çağrıları cihazdaki herhangi bir uygulama tarafından tetiklenebileceğinden, güçlü kimlik doğrulama ve erişim kontrolleri çok önemlidir.” Dedi. “Ne yazık ki, bu katman genellikle ciddi güvenlik risklerine kapıyı açan kötü bir şekilde uygulanır – veya tamamen ihmal edilir – uygunsuz kimlik doğrulaması kötü amaçlı uygulamaların kök erişimine ve cihazı tamamen tehlikeye atmasına izin verebilir.”