Nieuw ontdekte Android-malware steelt betaalkaartgegevens met behulp van de NFC-lezer van een geïnfecteerd apparaat en geeft deze door aan aanvallers, een nieuwe techniek die de kaart effectief kloont zodat deze kan worden gebruikt bij geldautomaten of verkoopautomaten, aldus beveiligingsbedrijf ESET.
ESET-onderzoekers hebben de malware NGate genoemd omdat deze NFCGate bevat, een open source-tool voor het vastleggen, analyseren of wijzigen van NFC-verkeer. NFC, een afkorting voor Near-Field Communication, is een protocol waarmee twee apparaten draadloos over korte afstanden kunnen communiceren.
Een nieuw aanvalsscenario op Android
“Dit is een nieuw aanvalsscenario op Android en het is de eerste keer dat we Android-malware met deze mogelijkheid in het wild zien worden gebruikt”, zei ESET-onderzoeker Lukas Stefanko in een video die de ontdekking demonstreerde. “De NGate-malware kan NFC-gegevens van de kaart van een slachtoffer via een gecompromitteerd apparaat naar de smartphone van een aanvaller verzenden, die vervolgens de kaart kan emuleren en geld kan opnemen uit een geldautomaat.”
Lukas Stefanko – Ontmaskering van de NG’s.
De malware werd geïnstalleerd via traditionele phishing-scenario’s, zoals het targeten van de berichten van aanvallers en hen ertoe verleiden NGate te installeren vanaf kortstondige domeinen die zich voordeden als banken of officiële apps voor mobiel bankieren die beschikbaar zijn op Google Play. Vermomd als een legitieme app voor de doelbank, vraagt NGate de gebruiker om de klant-ID van de bank, de geboortedatum en de pincode die overeenkomt met de kaart in te voeren. De app gaat verder en vraagt de gebruiker om NFC in te schakelen en de kaart te scannen.
ESET zei dat het in november ontdekte dat NGate tegen drie Tsjechische banken werd gebruikt en zes afzonderlijke NGate-apps identificeerde die tussen toen en maart van dit jaar circuleerden via andere bronnen dan Google Play. Sommige van de apps die in de latere maanden van de campagne werden gebruikt, kwamen in de vorm van PWA’s, een afkorting van Progressive Web Apps, die, zoals donderdag aangekondigd, op Android- en iOS-apparaten kunnen worden geïnstalleerd, zelfs als de instellingen (op iOS uiteraard) dit verhinderen de apps kunnen niet worden geïnstalleerd en zijn beschikbaar via niet-officiële bronnen.
De meest waarschijnlijke reden dat de NGate-campagne in maart eindigde, zei ESET, was de arrestatie door de Tsjechische politie van een 22-jarige man die volgens hen betrapt werd op het dragen van een masker terwijl hij geld opnam bij geldautomaten in Praag. Onderzoekers zeiden dat de verdachte “een nieuwe manier heeft bedacht om mensen geld afhandig te maken” met behulp van een plan dat identiek klinkt aan het plan waarbij NGate betrokken was.
Stefanko en collega ESET-onderzoeker Jakub Osmani legden uit hoe de aanval werkte:
Uit een verklaring van de Tsjechische politie bleek dat het aanvalsscenario begon toen de aanvallers sms-berichten naar potentiële slachtoffers stuurden over een belastingaangifte, inclusief een link naar een phishing-website die zich voordeed als banken. Deze links hebben hoogstwaarschijnlijk naar kwaadaardige PWA’s geleid. Toen het slachtoffer de app installeerde en de inloggegevens invoerde, kreeg de aanvaller toegang tot het account van het slachtoffer. Vervolgens belde de aanvaller het slachtoffer en deed zich voor als bankmedewerker. Het slachtoffer kreeg bericht dat haar account gehackt was, mogelijk als gevolg van een eerder sms-bericht. De aanvaller sprak feitelijk de waarheid – het verhaal van het slachtoffer werd gecompromitteerd, maar die waarheid leidde vervolgens tot een nieuwe leugen.
Om zijn geld te ‘beschermen’, werd het slachtoffer gevraagd zijn pincode te wijzigen en zijn bankkaart te verifiëren met behulp van een mobiele applicatie: NGate-malware. NGate-downloadlink verzonden via sms. We gaan ervan uit dat slachtoffers binnen de NGate-app hun oude pincode invoeren om een nieuwe pincode aan te maken en hun kaart op de achterkant van hun smartphone plaatsen om de wijziging te bevestigen of toe te passen.
Omdat de aanvaller al toegang had tot het gecompromitteerde account, kon hij de opnamelimieten wijzigen. Als de NFC-relay-methode niet werkt, kunnen ze het geld eenvoudigweg overboeken naar een andere rekening. Het gebruik van NGate maakt het echter gemakkelijker voor een aanvaller om toegang te krijgen tot het geld van het slachtoffer zonder sporen achter te laten naar de bankrekening van de aanvaller zelf. Het aanvalssequentiediagram wordt getoond in Figuur 6.
Toename / Een overzicht van NGate-aanvallen.
ESET
De onderzoekers zeiden dat NGate of soortgelijke applicaties in andere scenario’s zouden kunnen worden gebruikt, zoals het klonen van sommige smartcards die voor andere doeleinden worden gebruikt. De aanval zou werken door de unieke ID van een NFC-tag te kopiëren, afgekort als UID.
“Tijdens onze tests hebben we met succes de UID overgedragen van de MIFARE Classic 1K-tag, die doorgaans wordt gebruikt voor kaartjes voor het openbaar vervoer, ID-badges, lidmaatschaps- of studentenkaarten en soortgelijke gebruiksscenario’s”, schreven de onderzoekers. “Met behulp van NFCGate is het mogelijk om een NFC-relay-aanval uit te voeren om een NFC-token op de ene locatie te lezen en, in realtime, toegang te krijgen tot gebouwen op een andere locatie door de UID ervan te emuleren, zoals weergegeven in figuur 7.”
Toename / Figuur 7. Een Android-smartphone (rechts) die de UID van een extern NFC-token heeft gelezen en naar een ander apparaat heeft verzonden (links).
ESET
Klonen kan voorkomen in situaties waarin een aanvaller fysieke toegang heeft tot de kaart of de kaart kort kan lezen in onbeheerde portemonnees, portemonnees, rugzakken of smartphonehoesjes waarin de kaarten zitten. Om dergelijke aanvallen uit te voeren en te emuleren, moet een aanvaller een geroot en aangepast Android-apparaat hebben. Telefoons die met NGate waren geïnfecteerd, hadden deze vereiste niet.
Een Google-vertegenwoordiger schreef in een e-mail: “Op basis van onze huidige detecties zijn er geen apps gevonden die deze malware bevatten op Google Play. Android-gebruikers worden automatisch beschermd tegen bekende versies van deze malware door Google Play Protect, dat standaard is ingeschakeld op Android-apparaten met Google Play Services kan Google Play Protect gebruikers waarschuwen of apps blokkeren waarvan bekend is dat ze kwaadaardig gedrag vertonen, zelfs als die apps afkomstig zijn van bronnen buiten Play.”
