Android zararlı yazılımlarının yardımıyla birçok yasa dışı faaliyet yürüten bilgisayar korsanları, Android’in yaygın kullanımı ve açık ekosistemi nedeniyle Android’i hedef alıyor.
Bu durum, bilgisayar korsanlarının kötü amaçlı uygulamalar dağıtmak ve güvenlik açıklarından yararlanmak gibi yasa dışı faaliyetlerini gerçekleştirmelerini çok daha kolay hale getiriyor.
ESET araştırmacıları yakın zamanda “Ngate” adı verilen ve bilgisayar korsanlarının kurbanların ödeme kartlarından para çekmelerine olanak tanıyan yeni bir Android kötü amaçlı yazılımı tespit etti.
Ngate Android Kötü Amaçlı Yazılım
İlk olarak Kasım 2023’te tespit edilen NGate Android kötü amaçlı yazılımı, yetkisiz ATM çekimleri için gelişmiş bir saldırı vektörünü temsil ediyor.
Başlangıçta Darmstadt Teknik Üniversitesi’nde NFC araştırması için geliştirilen NFCGate aracının değiştirilmiş bir versiyonunu kullanarak, kurbanların ödeme kartlarından alınan Yakın Alan İletişimi (NFC) verilerini, ele geçirilen Android akıllı telefonlar aracılığıyla saldırganların cihazlarına aktarıyor.
Kötü amaçlı yazılım, başlangıçta İlerici Web Uygulamaları (PWA’lar) olarak ve daha sonra yerel uygulamalara daha çok benzeyen WebAPK’lara dönüşerek, önde gelen Çek bankalarını taklit eden kimlik avı web siteleri aracılığıyla dağıtıldı.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Saldırı zinciri, vergi iadeleri kisvesi altında kurbanları bu kötü amaçlı sitelere çeken SMS kimlik avıyla başladı. Daha sonra kurbanlar, ele geçirilen hesaplarını koruyacağına inanarak NGate’i yüklemeleri için sahte banka çalışanı aramalarıyla sosyal mühendislikle yönlendirildi.
NGate kurulduktan sonra bankacılık kimlik bilgilerini ele geçirir ve kurbanlara ödeme kartlarını telefonlarına yerleştirmelerini söyler, bu da NFC röle saldırısını etkinleştirir. Özellikle, bu teknik kurbanın cihazını değil, yalnızca saldırganın cihazını köklendirmeyi gerektirir.
Stefanko, kötü amaçlı yazılımın ayrıca NFC rölesinin arızalanması durumunda hesaplar arasında doğrudan para transferi yapmak için bir yedek yöntem de içerdiğini sözlerine ekledi.
Üç Çek bankasının müşterilerini hedefleyen bu kampanya, Kasım 2023’ten Mart 2024’e kadar devam etti; ancak Prag’da 22 yaşındaki bir şüphelinin tutuklanmasının ardından kampanya durduruldu.
NGate’in sıra dışı yanı, NFC araştırma araçlarını suç amaçlı kötüye kullanması ve bu durumun NFC etiketi kopyalama ve ödeme kartı taklidi gibi diğer saldırıların önünü açma potansiyeline sahip olmasıdır.
Maddi zararın tam boyutu henüz bilinmiyor ancak Çek polisi tutuklama sırasında sadece son üç mağdurdan 160.000 Çek korunası (6.000 avronun üzerinde) tahsil edebildi.
Örnekler arasında tutarlı olan kötü amaçlı yazılım (paket adı: rb.system.com), kimlik avı sitelerini (örneğin, https://client.nfcpay.workers) görüntülemek için WebView’leri kullandı[.]dev/?key=8e9a1c7b0d4e8f2c5d3f6b2) Raiffeisenbank ve ČSOB gibi bankaları taklit ediyor.
NGate, tehlikeye atılmış cihazları kontrol etmek, cihaz bilgilerini almak ve NFC röle saldırılarını başlatmak için bir JavaScript arayüzü kullandı. İki sunucu kullandı, biri kimlik avı ve saldırı koordinasyonu için, diğeri de NFC trafiği yönlendirmesi için.
Kötü amaçlı yazılımın PWA ve WebAPK tabanlı saldırılardan NFC aktarımına doğru evrimleşmesi, saldırganların giderek daha karmaşık hale geldiğini gösteriyor.
Şu anda bir tutuklama nedeniyle durdurulan kampanya, bu tür saldırıların diğer bölgelere de yayılma potansiyelini ortaya koyuyor.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Web sitesinin gerçekliğini doğrulamak için URL’leri kontrol edin.
- Uygulamaları yalnızca resmi mağazalardan indirin.
- Kart şifrelerinizi gizli tutun.
- Kötü amaçlı yazılımları engellemek için güvenlik uygulamalarını kullanın.
- Gerekmediğinde NFC’yi kapatın.
- Taramaları engellemek için RFID kılıflarını kullanın.
- Akıllı telefonlarda dijital kart kullanın.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces