Cyble araştırmacıları Brezilya’daki kullanıcıları hedef alan yeni bir NFC aktarma saldırısı kampanyası belirlediler.
Cyble Research and Intelligence Labs (CRIL) araştırmacıları, “RelayNFC” olarak adlandırılan, ödeme kartlarını güvence altına aldığını iddia eden kötü amaçlı uygulamayı dağıtan beş kimlik avı sitesi tespit etti. Kötü amaçlı uygulama, kurbanın kart ayrıntılarını ele geçirip bunları sahtekarlık amaçlı işlemler için saldırganlara aktarıyor.
Kötü amaçlı yazılım aynı zamanda son derece kaçamak bir yapıya sahiptir ve güvenlik araçları tarafından tespit edilememektedir.
NFC Geçiş Saldırısı Uygulaması Güvenlik Araçlarından Kaçıyor
Cyble, RelayNFC’nin Hermes tarafından derlenen yükü nedeniyle “hafif ancak son derece kaçamak bir kötü amaçlı yazılım” olduğunu söyledi. Araştırmacılar, JavaScript motorunun kullanımının “tespiti önemli ölçüde zorlaştırdığını, kurbanların kart verilerini gizlice yakalamasına ve saldırganın kontrolündeki bir sunucuya gerçek zamanlı olarak aktarmasına olanak sağladığını” söyledi.
VirusTotal’ın NFC aktarma saldırısı kötü amaçlı yazılımına ilişkin tespitleri yayınlandığı sırada sıfırdı; bu durum “güvenlik ekosistemi genelinde görünürlüğün çok düşük olduğunu gösteriyor ve kod, geliştirmenin devam etme olasılığının yüksek olduğunu gösteriyor” dediler.
RelayNFC, saldırganların işlemleri “sanki kurbanın kartı fiziksel olarak oradaymış gibi” tamamlamasına olanak tanıyan tam gerçek zamanlı Uygulama Protokolü Veri Birimi (APDU) aktarma kanalını kullanıyor.
Araştırmacılar ayrıca Ana Bilgisayar Kartı Emülasyonu’nu (HCE) uygulamaya çalışan ilgili bir varyant da belirlediler; bu da tehdit aktörünün diğer NFC aktarma tekniklerini de araştırdığını gösteriyor.
Cyble, temassız ödeme verilerini engellemek veya iletmek için Yakın Alan İletişimi (NFC) yeteneklerini kullanan diğer kötü amaçlı yazılım türlerinin arasında Ngate, SuperCardX ve PhantomCard’ın yer aldığını ve bunun da NFC istismarlarının artan bir eğilimine işaret ettiğini söyledi.
RelayNFC Kötü Amaçlı Yazılımı Kimlik Avı Sitelerine Güveniyor
RelayNFC’nin dağıtımı tamamen kimlik avına dayanıyor ve kullanıcıları kötü amaçlı yazılımı indirmeleri için kandırıyor. Kampanya, kurbanları kötü amaçlı ödeme kartı güvenlik uygulamasını yüklemeye yönlendiren Portekizce bir sayfa kullanıyor (aşağıdaki resim).
Araştırmacılar, uygulamayı dağıtan beş kötü amaçlı site tespit etti; bu, “Brezilyalı kullanıcıları hedef alan koordineli ve devam eden bir operasyona işaret ediyor.” Bu siteler şunları içerir:
- maisseguraca[.]alan
- devam ediyorum[.]alan
- test[.]ikotech[.]çevrimiçi
- daha emniyetli[.]alan
- maisprotecao[.]alan
RelayNFC, React Native çerçevesi kullanılarak oluşturulmuş yeni bir varyant gibi görünüyor ve en az bir aydır aktif. Araştırmacılar, kötü amaçlı yazılımın bir “okuyucu” olarak çalıştığını, kurban kartı verilerini yakalayıp saldırganın sunucusuna aktardığını söyledi. Uygulama, kurulumdan hemen sonra kullanıcıya cihazdaki ödeme kartına dokunmasını söyleyen bir kimlik avı ekranı görüntüler.
Kart verileri okunduktan sonra RelayNFC, kurbanın 4 veya 6 haneli PIN kodunu girmesini isteyen başka bir kimlik avı ekranı görüntüler.
APDU Komutları Cihazı ‘Uzak NFC Okuyucuya’ Dönüştürüyor
Araştırmacılar, RelayNFC kodunun, saldırganın sunucusu ile kurbanın NFC alt sistemi arasında Uygulama Protokolü Veri Birimi (APDU) komutlarını iletmek için kalıcı bir WebSocket bağlantısı kullanan bir geçiş kanalı etrafında oluşturulduğunu ve “virüs bulaşmış cihazı etkili bir şekilde saldırgan için uzak bir NFC ‘okuyucusuna’ dönüştürdüğünü” söyledi.
NFC denetleyicisi komutu işler ve kartın meşru bir işlem sırasında yapacağı gibi gerçek bir APDU yanıtı oluşturur. RelayNFC bu çıktıyı yakalar ve bir “apdu-resp” mesajıyla komut ve kontrol sunucusuna geri göndererek “orijinal istek kimliğini ve oturum kimliğini koruyarak saldırganın cihazının EMV işlemine sorunsuz bir şekilde devam edebilmesini sağlar.”
Araştırmacılar, “APDU komutlarının ve yanıtlarının bu gerçek zamanlı, çift yönlü aktarımı, saldırganın, sanki kurbanın kartı fiziksel olarak POS terminalinde mevcutmuş gibi, tam bir ödeme akışını uzaktan yürütmesine olanak tanıyan şeydir” dedi.
“Kimlik avı odaklı dağıtım, React Native tabanlı gizleme ve WebSockets üzerinden gerçek zamanlı APDU aktarımını birleştirerek, tehdit aktörleri uzaktan EMV işlem dolandırıcılığı için son derece etkili bir mekanizma oluşturdular” dediler.
Araştırmacılar bulgularının, cihaz düzeyinde güçlü korumalara, kullanıcı farkındalığına ve finansal kurumlar tarafından izlemeye duyulan ihtiyacın altını çizdiğini söyledi.