חדש: נוזקת אנדרואיד גונבת כספים דרך מכשירי כספומט

הכירו את NGate: נוזקה למכשירים מבוססי אנדרואיד, שמעבירה נתונים אשר נקלטו דרך העברת נתוני תקשורת לטווח קרוב (טכנולוגיית NFC – ר"ת Near Field Communication) – כדי לגנוב כספים של קורבנות דרך מכשירי כספומט.

חוקרי חברת אבטחת המידע ESET חשפו קמפיין פשיעת סייבר, שכוון ללקוחות של שלושה בנקים צ'כיים שונים. לנוזקה NGate יש יכולת ייחודית: העברת נתונים מכרטיסי התשלום של הקורבן אל מכשירו של התוקף, שבו ביצע פריצת Root.

המטרה העיקרית של הקמפיין היא ביצוע משיכות כספים מחשבונות בנק של קורבנות דרך מכשירי כספומט, בלא ידיעתם או הסכמתם. התוקפים הצליחו לבצע זאת באמצעות העברת NFC מכרטיסי התשלום הפיזיים של הקורבנות – אל מכשיר הטלפון של התוקף דרך מכשירי הקורבנות שהודבקו בנוזקת NGate. לאחר מכן, התוקף השתמש בנתונים האלה כדי לבצע משיכות ממכשירי כספומט. אם הפעולה כשלה – לתוקף נותרה תוכנית גיבוי, שאפשרה לו להעביר כספים מחשבונות הבנק של הקורבנות לחשבונות בנק אחרים.

New Android malware – #NGate – relays NFC data from victims’ payment cards, via victims’ compromised mobile phones, to attacker's device waiting at an ATM to withdraw cashhttps://t.co/aM4v0lC6we pic.twitter.com/3MPRPe7qUB

— Lukas Stefanko (@LukasStefanko) August 22, 2024

לדברי לוקאס סטפנקו, חוקר ESET שגילה את הטכניקה החדשה, "לא ראינו טכניקת העברת נתוני NFC חדישה כזאת באף נוזקה במכשירים מבוססי אנדרואיד. הטכניקה מתבססת על כלי בשם NFCGate, שתוכנן על ידי סטודנטים באוניברסיטה הטכנית של דרמשטאט שבגרמניה – כדי ללכוד, לנתח או לשנות תעבורת נתונים ב-NFC".

הקורבנות הורידו והתקינו את הנוזקה לאחר שגרמו להם לחשוב שהם נמצאים בקשר עם הבנק שלהם, ושהמכשיר שלהם נפרץ. בפועל, מכשירי הקורבנות נפרצו מוקדם יותר, בלא ידיעתם, באמצעות הורדה והתקנה של אפליקציה מקישור שהופיע בהודעת SMS על אפשרות לקבלת החזר מס. החוקרים ציינו כי נוזקת NGate לא הייתה זמינה אי פעם להורדה בחנות Google Play הרשמית. הנוזקה הופצה באמצעות דומיינים שהיו פעילים לזמן קצר יחסית, והתחזו לאתרי בנקאות לגיטימיים או לאפליקציות בנקאות רשמיות, הזמינות להורדה בחנות Google Play.

The malware is based on the NFCGate tool designed by students at TU in Darmstadt; we therefore named the malware #NGate. We haven’t seen this novel NFC relay technique in any previously discovered Android malware. 2/7 pic.twitter.com/ZEiXiXSVGT

— ESET Research (@ESETresearch) August 22, 2024

פישינג של קבוצת סייבר שהחלה לפעול בצ'כיה

הנוזקה מקושרת לפעולות הפישינג של קבוצת סייבר שהחלה לפעול בצ'כיה בנובמבר 2023 והחוקרים מעריכים כי הפעולות האלו הושהו בשל מעצר של חשוד במרץ 2024.

לפי החוקרים, התוקפים השתמשו בפוטנציאל של "אפליקציות אינטרנט מתקדמות", במטרה לשפר את האסטרטגיה שלהם ולהשתמש בגרסה מתוחכמת יותר של אפליקציות אינטרנט מתקדמות שנקראת WebAPK. בסופו של דבר, הפעולה הביאה להדבקה בנוזקת NGate.

במרץ השנה חוקרי ESET גילו כי נוזקת NGate החלה להיות זמינה בדומיינים ששימשו בעבר לביצוע מתקפות פישינג, אשר שימשו להדבקה בנוזקות מסוג PWA ו-WebAPK. לאחר שהאפליקציה מותקנת ונפתחת, NGate מציגה אתר אינטרנט מזויף שמבקש את פרטי הגישה לחשבון הבנק של הקורבן, ואלו נשלחים לשרת של התוקף.

בנוסף ליכולות הפישינג של הנוזקה, NGate מגיעה עם כלי שנקרא NFCGate, בו הנוזקה משתמשת כדי להעביר נתוני NFC בין מכשירים שונים – של הקורבן ושל התוקף. חלק מהאפשרויות האלה זמינות רק במכשירים שעברו פריצת Root, אך במקרה הזה – העברת הנתונים שנאספו דרך NFC מתאפשרת גם כשהמכשיר השולח לא עבר פריצת Root.

בנוסף, נוזקת NGate מבקשת מהקורבנות להזין מידע רגיש, כמו מספר זהות בנקאי, תאריך לידה והקוד לכרטיס הבנק. היא גם מבקשת מהם להפעיל את אפשרות ה-NFC בטלפון החכם שלהם, ולאחר מכן הם מתבקשים להצמיד את הכרטיס לחלק האחורי של המכשיר עד לזיהוי הכרטיס על ידי הנוזקה.

מה מומלץ לעשות כדי להתגונן?

סטפנקו ציין כי "מדובר במתקפה מורכבת" וכתב מה מומלץ למשתמשי אנדרואיד לעשות.

לדבריו "יש לנקוט בכמה צעדים פרו-אקטיביים להתגוננות מטקטיקות כמו פישינג, הנדסה חברתית ונוזקות לאנדרואיד. יש לבצע בדיקת כתובות URL של אתרי אינטרנט, להוריד אפליקציות מחנויות רשמיות בלבד, להימנע מחשיפה ומסירה של סיסמאות וקודים לכרטיסים, לעשות שימוש באפליקציות אבטחה לטלפונים ניידים, וכן לכבות את אפשרות ה-NFC בזמן שאינה נחוצה. עוד יש לעשות שימוש בכיסוי מגן לטלפון, או בכרטיסים וירטואליים, בהם נדרש לבצע אימות לפני חיוב או משיכת כספים".