Android-Malware stiehlt Zahlungskartendaten mithilfe einer noch nie dagewesenen Technologie

Das Cybersicherheitsunternehmen ESET sagte, dass eine neu entdeckte Malware, die auf dem Android-Betriebssystem läuft, mithilfe des NFC-Lesegeräts im infizierten Gerät Daten von Zahlungskarten stiehlt und diese an die Angreifer übermittelt. Dabei handelt es sich um eine neue Technologie, die die Karte effektiv klont, damit sie verwendet werden kann an Geldautomaten oder Verkaufsstellen.

ESET-Forscher nannten die Malware NGate, weil sie Folgendes enthält: NFC-Gatewayein Open-Source-Tool zum Erfassen, Analysieren oder Ändern des NFC-Verkehrs. Abkürzung für NahfeldkommunikationNFC ist ein Protokoll, das es zwei Geräten ermöglicht, drahtlos über kurze Distanzen zu kommunizieren.

Neues Angriffsszenario auf Android

„Dies ist ein neues Angriffsszenario für Android und das erste Mal, dass wir Android-Malware mit dieser Funktion in freier Wildbahn gesehen haben“, sagte ESET-Forscher Lukasz Stefanko in einem Bericht. Video „Die Entdeckung zeigt, dass die NGate-Malware NFC-Daten von der Karte eines Opfers über ein kompromittiertes Gerät auf das Smartphone des Angreifers übertragen kann, der dann in der Lage ist, die Karte zu fälschen und Geld an einem Geldautomaten abzuheben.“

Die Malware wurde über herkömmliche Phishing-Szenarien installiert, z. B. indem der Angreifer Nachrichten an Ziele sendete und sie dazu verleitete, NGate von kurzlebigen Domänen aus zu installieren, die sich als Banken oder offizielle bei Google Play verfügbare Mobile-Banking-Apps ausgeben. NGate tarnt sich als legitime Target Bank-App und fordert den Benutzer auf, die Kundennummer der Bank, das Geburtsdatum und die entsprechende Karten-PIN einzugeben. Die App fordert den Benutzer ständig auf, NFC einzuschalten und die Karte zu scannen.

ESET sagte, es habe den Einsatz von NGate gegen drei tschechische Banken ab November entdeckt und sechs separate NGate-Anwendungen identifiziert, die zwischen diesem Zeitpunkt und März dieses Jahres im Umlauf waren. Einige der Apps, die in den späteren Monaten der Kampagne verwendet wurden, waren Progressive Web Apps, die Abkürzung für „Progressive Web Apps“. Progressive Webanwendungendas, wie am Donnerstag berichtet, auf Android- und iOS-Geräten installiert werden kann, auch wenn die Einstellungen (auf iOS obligatorisch) die Installation von Anwendungen aus inoffiziellen Quellen verhindern.

ESET sagte, der wahrscheinlichste Grund für das Ende der NGate-Kampagne im März sei… verhaften Die tschechische Polizei hat einen 22-jährigen Mann festgenommen, der ihrer Aussage nach beim Geldabheben an einem Geldautomaten in Prag mit einer Maske erwischt wurde. Die Ermittler sagten, der Verdächtige habe „eine neue Möglichkeit geschaffen, Menschen um ihr Geld zu betrügen“, indem er ein Schema verwendet habe, das offenbar mit dem Schema von NGate identisch sei.

Stefanko und sein ESET-Forscherkollege Jacob Osmani erklärten, wie der Angriff funktionierte:

Die Ankündigung der tschechischen Polizei ergab, dass das Angriffsszenario damit begann, dass die Angreifer SMS-Nachrichten über eine Steuererklärung an potenzielle Opfer schickten, einschließlich eines Links zu einer Phishing-Site, die sich als Banken ausgab. Diese Links führen wahrscheinlich zu bösartigen progressiven Webanwendungen. Nachdem das Opfer die App installiert und seine Zugangsdaten eingegeben hatte, verschaffte sich der Angreifer Zugriff auf das Konto des Opfers. Anschließend rief der Angreifer das Opfer an und gab sich als Bankangestellter aus. Das Opfer wurde darüber informiert, dass sein Konto gehackt wurde, wahrscheinlich aufgrund der vorherigen SMS. Der Angreifer sagte tatsächlich die Wahrheit – das Konto des Opfers war gehackt worden, aber diese Wahrheit führte dann zu einer weiteren Lüge.

Um sein Geld zu schützen, wurde das Opfer aufgefordert, seine PIN zu ändern und seine Bankkarte mithilfe einer mobilen App – der NGate-Malware – zu verifizieren. Ein Link zum Herunterladen von NGate wurde per SMS gesendet. Wir vermuten, dass die Opfer in der NGate-App ihre alte PIN eingegeben haben, um eine neue zu erstellen, und ihre Karte auf die Rückseite ihres Smartphones gesteckt haben, um die Änderung zu bestätigen oder anzuwenden.

Da der Angreifer bereits Zugriff auf das kompromittierte Konto hatte, konnte er die Auszahlungslimits ändern. Sollte die NFC-Weiterleitungsmethode nicht funktionieren, kann er das Geld einfach auf ein anderes Konto überweisen. Allerdings erleichtert die Verwendung von NGate einem Angreifer den Zugriff auf die Gelder des Opfers, ohne Spuren auf dem Bankkonto des Angreifers zu hinterlassen. Ein Diagramm der Angriffssequenz ist in Abbildung 6 dargestellt.

Die Forscher sagten, dass NGate oder ähnliche Anwendungen in anderen Szenarien verwendet werden könnten, beispielsweise beim Klonen einiger Smartcards, die für andere Zwecke verwendet werden. Der Angriff funktioniert durch das Kopieren der eindeutigen Kennung des NFC-Tags, abgekürzt als UID.

„Während unserer Tests haben wir die eindeutige Benutzerkennung erfolgreich vom MIFARE Classic 1K-Tag übertragen, der normalerweise für Fahrkarten für öffentliche Verkehrsmittel, Ausweise, Mitglieds- oder Studentenausweise und ähnliche Anwendungsfälle verwendet wird“, schreiben die Forscher. „Mit NFCGate ist es möglich, einen NFC-Übertragungsangriff durchzuführen, um einen NFC-Code an einem Ort zu lesen und sich in Echtzeit Zugang zu Gebäuden an einem anderen Ort zu verschaffen, indem seine eindeutige Benutzer-ID gefälscht wird, wie in Abbildung 7 dargestellt.“

Klonvorgänge können in Situationen auftreten, in denen ein Angreifer physisch auf eine Karte zugreifen oder eine Karte in Handtaschen, Brieftaschen, Rucksäcken oder Smartphone-Hüllen, die Karten enthalten, kurzzeitig auslesen kann. Um solche Angriffe durchzuführen und zu simulieren, benötigt der Angreifer ein benutzerdefiniertes und gerootetes Android-Gerät. Bei Telefonen, die mit dem NGate-Virus infiziert waren, trat dieser Zustand nicht auf.