Tech.BiznesINFO.pl > Cyberbezpieczeństwo > Trojan kradnie pieniądze, gdy płacisz telefonem. Tak dopracowanego ataku nie było już dawno
Maciej Olanicki
Maciej Olanicki 23.08.2024 22:22

Trojan kradnie pieniądze, gdy płacisz telefonem. Tak dopracowanego ataku nie było już dawno

płatność telefonem
Fot. Unsplash/Nathan Dumlao

W Polsce sprawnie adaptują się nowinki techniczne związane z płatnościami. Dysponujemy świetnym systemem BLIK, dużą popularnością cieszą się nie tylko płatności bezgotówkowe, ale też zbliżeniowe, a ostatnio płatności zbliżeniowe dokonywane telefonem. Nowy trojan bierze na cel właśnie te osoby, które często płacą w sklepach smartfonami.

Płacący telefonem na celowniku. Trwa bardzo pomysłowy atak

Serwis bleepingcomputer.com informuje o zidentyfikowaniu nowego złośliwego oprogramowania o nazwie NGate. Jest ono o tyle ciekawe, że wykorzystuje relatywnie mało popularny scenariusz ataku. I robi to świetnie. Dochodzi do niego podczas płatności zbliżeniowych z użyciem modułów NFC w telefonach. Najpierw trzeba zainstalować zainfekowaną trojanem aplikację, a ta przechwytuje podczas transakcji dane karty płatniczej.

Nowego szkodnika odnaleźli analitycy ESET i początek jego aktywności datuje się już na listopad 2023 r. Do infekcji wykorzystywana jest fałszywa aplikacja bankowa, w omawianym przypadku podszywająca się pod bankowość mobilną jednego z czeskich banków. Sąsiedztwo Polski każe być ostrożnym także u nas - kampania może być zakrojona szerzej w regionie i ofiarami mogą padać także polscy użytkownicy smartfonów z Androidem.

Dzwoni nieznajomy numer? Jeśli to usłyszysz, natychmiast się rozłącz

Napastnicy uzbroili oprogramowanie opracowane w celach naukowych

Wszystko zaczyna się od propozycji zainstalowania aktualizacji aplikacji bankowej na podrobionej stronie banku. Komunikat jest bardzo podobny do tego wyświetlanego przez oficjalny sklep z aplikacjami na Androida, Google Play. Po kliknięciu linka zostajemy przenoszeni na fałszywą stronę Google Play, skąd możemy pobrać aplikację rzekomego banku. Od strony technicznej nie dochodzi do faktycznej instalacji aplikacji, lecz do pobrania witryny w formie PWA, czyli aplikacji webowej, a następnie WebAPK.

Jest to rozwiązanie o tyle sprytne, że użytkownik-ofiara w żadnym momencie nie jest proszony o przyznanie uprawnień, co mogłoby wzbudzić jego podejrzliwość. NGate pobiera następnie opensource’owy ogólnodostępny komponent NFCGate. Co ciekawe, został on opracowany i udostępniony w celach naukowych. Pozwala on śledzić aktywność modułu NFC i zbierać dane w celach testowych i analitycznych. Jak się jednak okazuje, także w celach cyberprzestępczych.

Przemyślany i wyrafinowany atak

Z użyciem NFCGate możliwe jest przechwytywanie całości operacji dokonywanych kartą za pośrednictwem modułu NFC. Można więc przechwytywać transakcje, przekazywać dalej, powtarzać czy klonować. W wielu przypadkach nie jest do tego wymagane nawet zrootowanie urządzenia. W ten sposób oprogramowanie opracowane w szczytnym celu zostało uzbrojone i może być wykorzystywane do kradzieży pieniędzy.

Dzięki przechwyconym danym napastnik nadal może co prawda płacić zbliżeniowo, ale nie może wypłacać gotówki z bankomatu. I na to znalazł się sposób. Twórcy NGate postawili na socjotechnikę i po pobraniu aplikacji dzwonią do ofiar w celu fikcyjnej weryfikacji. Po rozmowie przesyłają ofierze SMS-a i zachęcają do potwierdzenia PIN-u w aplikacji. To diablo sprytne, bo nawet jeśli ofiara jest na tyle świadoma, by nie podawać nikomu PIN-u przez telefon, to przecież rzekomy pracownik banku wcale o to nie prosi. Zamiast tego zachęca do potwierdzenia go samodzielnie w aplikacji. Ofiara nie wie jednak, że aplikacja to fałszywka.

Trzeba przyznać, że rzadko mamy do czynienia z tak sprytnym i przemyślanym atakiem. Wykorzystanie ogólnodostępnych narzędzi, a następnie świetna zagrywka socjotechniczna polegająca na wykradaniu PIN-u przez aplikację, a nie podczas rozmowy telefonicznej świadczy o dużym wyrafinowaniu napastników. Dobre wieści są takie, że Google twierdzi, że NGate jest już wychwytywany przez preinstalowane w Androidzie mechanizmy ochrony Google Play Protect.

Atak na klientów polskiego banku. KNF ostrzega: bądźcie ostrożni. Co się dzieje?
bankowość elektroniczna
Zespół CSIRT działający przy Komisji Nadzoru Finansowego wydał ostrzeżenie przed kolejną falą ataków phishingowych. Napastnicy przygotowali dopracowaną fałszywą wersję strony logowania i w ten sposób wyłudzają od ofiar dane uwierzytelniające. Po ich przejęciu mogą samodzielnie logować się na prawdziwą już witrynę i włamywać się na konta. W takich przypadkach często zapomina się, że ofierze grozi nie tylko kradzież pieniędzy, ale też zaciąganie kredytów w jej imieniu przez włamywaczy. Transakcję można rzecz jasna reklamować, ale banki robią wiele, by utrudniać procedurę, co sprzyja kolejnym atakom na aplikacje bankowe.
Czytaj dalej
Polacy masowo się zabezpieczają. Na ten ruch zdecydowały się miliony, a przyrost nie zwalnia
dowód osobisty
Aby zapewnić nam ochronę przed nieautoryzowanym wykorzystaniem naszych danych osobowych m.in. w celach zaciągania zobowiązań finansowych, wprowadzona została możliwość zastrzeżenia numeru PESEL. Wprowadza on daleko idące ograniczenia w tym, jak można posługiwać się PESEL-em i stanowi skuteczną ochronę po tym, jak skradziony zostanie nasz dowód osobisty lub numer zostanie skradziony po wycieku danych w Sieci. Ma to jednak swoje konsekwencje, bo ograniczenia dotyczą także właścicieli PESEL-u. Ministerstwo cyfryzacji właśnie podzieliło się nowymi informacjami, które potwierdzają, że wprowadzenie mechanizmu zastrzeżenia było strzałem w dziesiątkę.
Czytaj dalej