Vírusový radar
Hrozba pre Android, ktorá zneužíva technológiu NFC na krádež peňazí z bankomatu, ďalší podvod cielil aj na iPhony
Koniec leta poznamenali v strednej Európe dramatické povodne, Slovensko našťastie zasiahli iba na západe a okrajovo. No ani toto extrémne počasie našich výskumníkov v Bratislave, v Košiciach a po celom svete nemôže odradiť chrániť ľudí v kybernetickom priestore. A za posledné týždne objavili naozaj zaujímavé veci.
Napríklad kampaň, ktorá sa zamerala na klientov troch českých bánk. Použitý malvér, ktorý sme pomenovali NGate, má schopnosť prenášať údaje z platobných kariet obetí prostredníctvom škodlivej aplikácie nainštalovanej v ich zariadeniach so systémom Android do rootovaného androidového telefónu útočníka. Hlavným cieľom tejto kampane bolo umožniť neoprávnené výbery z bankových účtov obetí cez bankomaty. To útočník dosiahol prenosom údajov z fyzických platobných kariet obetí prostredníctvom ich kompromitovaných smartfónov s Androidom pomocou škodlivého softvéru NGate do zariadenia útočníka. Útočník potom tieto údaje použil na vykonanie bankomatových transakcií. Ak táto metóda zlyhala, útočník mal záložný plán na prevod finančných prostriedkov z účtov obetí na iné bankové účty, keďže androidové zariadenie obete bolo tak či tak infikované a útočník sa k financiám mohol dostať cez bankovú aplikáciu na mobile obete.
Túto novú techniku prenosu NFC sme nezaznamenali v žiadnom predtým objavenom škodlivom softvéri pre Android. Technika je založená na nástroji NFCGate, ktorý navrhli študenti Technickej univerzity v nemeckom Darmstadte na zachytávanie, analýzu alebo zmenu prevádzky NFC. Preto sme túto novú rodinu malvéru pomenovali NGate.
Obete si stiahli a nainštalovali škodlivý softvér po tom, čo boli oklamané, že komunikujú so svojou bankou a že ich zariadenie je ohrozené. V skutočnosti obete nevedomky kompromitovali svoje vlastné zariadenia s Androidom ešte predtým, keď si v prvom kroku stiahli a nainštalovali aplikáciu z odkazu v podvodnej SMS správe o možnom vrátení daní. Je dôležité poznamenať, že malvér NGate nebol nikdy dostupný v oficiálnom obchode Google Play.
NGate takisto vyzýva svoje obete, aby zadali citlivé informácie, ako je bankové ID klienta, dátum narodenia a PIN k bankovej karte. Zároveň ich žiada, aby na svojich smartfónoch zapli funkciu NFC. Potom sú obete inštruované, aby priložili svoju platobnú kartu k zadnej strane smartfónu, kým škodlivá aplikácia kartu rozpozná. Okrem techniky, ktorú používa malvér NGate, môže útočník s fyzickým prístupom k platobným kartám tieto karty kopírovať a napodobňovať. Túto techniku by mohol použiť útočník, ktorý sa pokúša čítať karty v kabelkách, peňaženkách, batohoch alebo obaloch na smartfóny, v ktorých sú uložené karty, najmä na verejných a preplnených miestach. Tento scenár je však vo všeobecnosti obmedzený na vykonávanie malých bezkontaktných platieb na miestach s terminálmi.
Androidový malvér NGate súvisí s phishingovými aktivitami útočníka, ktorý pôsobil v Česku od novembra 2023. Náš výskumník Lukáš Štefanko, ktorý hrozbu analyzoval, sa domnieva, že tieto aktivity boli pozastavené po zatknutí podozrivého v marci 2024. Výskumníci spoločnosti ESET najprv zaznamenali, že útočník sa od konca novembra 2023 zameriaval na klientov významných českých bánk. Malvér bol doručovaný prostredníctvom krátkodobých domén vydávajúcich sa za legitímne bankové stránky alebo oficiálne mobilné bankové aplikácie dostupné v obchode Google Play. Tieto podvodné domény boli identifikované prostredníctvom služby ESET Brand Intelligence Service, ktorá poskytuje monitorovanie hrozieb zameraných na značku klienta.
A ako sa podľa Lukáša chrániť? Zabezpečenie ochrany pred takýmito komplexnými útokmi si vyžaduje použitie určitých proaktívnych krokov proti hrozbám, ako sú phishing, sociálne inžinierstvo a škodlivý softvér pre Android. To znamená kontrolovať URL adresy webových stránok, sťahovať aplikácie z oficiálnych obchodov, udržiavať PIN kódy v tajnosti, používať bezpečnostné aplikácie v smartfónoch, vypínať funkciu NFC, keď nie je potrebná, využívať ochranné puzdrá alebo používať virtuálne karty chránené autentifikáciou.
S týmto objavom súvisí aj nami odhalený nový typ phishingovej kampane orientovanej na mobilných používateľov. Analyzovali sme reálny prípad, ktorý bol zameraný na klientov významnej českej banky. Táto technika je zaujímavá, pretože inštaluje phishingovú aplikáciu z webovej stránky tretej strany bez toho, aby to používateľ povolil. V systéme Android to môže viesť k tichej inštalácii špeciálneho druhu webového balíka aplikácie APK, ktorý sa dokonca tvári, že je nainštalovaný z obchodu Google Play. Hrozba sa zameriavala aj na používateľov zariadení iPhone (iOS).
Phishingové webové stránky zamerané na iOS dávajú obetiam pokyn, aby si na domovskú obrazovku pridali progresívnu webovú aplikáciu (PWA), zatiaľ čo v systéme Android sa PWA nainštaluje po potvrdení vlastných vyskakovacích okien v prehliadači. V tomto momente sú tieto phishingové aplikácie v oboch operačných systémoch zväčša nerozoznateľné od skutočných bankových aplikácií, ktoré napodobňujú. PWA sú v podstate webové stránky spojené do balíka, ktorý pôsobí ako samostatná aplikácia.
Po otvorení URL adresy doručenej obetiam sa im zobrazia dve rôzne kampane, a to buď vysokokvalitná phishingová stránka imitujúca oficiálnu stránku obchodu Google Play pre cieľovú bankovú aplikáciu, alebo napodobenina webovej stránky tejto aplikácie. Tam sú obete požiadané o inštaláciu „novej verzie“ bankovej aplikácie.
Čitateľov Nextechu sa to asi netýka, ale je stále veľa ľudí, ktorí svoj smartfón vnímajú skôr ako telefón než počítač vo vrecku. Preto tak ako si chránime naše PC, je nevyhnutné rovnako pristupovať aj k smartfónom. A to ak ide o peniaze, ale aj rôzne citlivé a osobné údaje a dáta. Takže aj keď budete na smartfóne, aj tento mesiac vám želám zaujímavé a predovšetkým bezpečné surfovanie kybernetickým svetom.