През последните месеци вселената на Android беше разтърсена от появата на два нови зловредни софтуера, които клонират кредитни карти и са способни да изпразват банкови сметки, като се възползват от... NFC технология. Тази заплаха, организирана главно от две семейства злонамерени програми, наречени NGate y СуперКарта X, засяга както обикновените потребители, така и финансовите институции и е поставила експерти по киберсигурност по целия свят в тревога. Ако използвате телефона си за безконтактни плащания или имате активиран NFC, е изключително важно да разбирате как работят тези заплахи и какви стъпки можете да предприемете, за да се защитите.
В тази статия ще ви разкажем по ясен, изчерпателен и актуализиран начин всичко, което трябва да знаете за Нов зловреден софтуер, който клонира кредитни карти чрез NFC на Android устройства. Тук ще научите как действат киберпрестъпниците, най-новите техники за социално инженерство, как заобикалят антивирусния софтуер и, разбира се, какви стъпки можете да предприемете, за да избегнете да станете следващата жертва.
Какво става? Началната точка на заплахата
През последната година няколко фирми за сигурност, като ESET и Cleafy, разкриха международни операции, насочени към... Потребители на Android, възползвайки се от възхода на безконтактните плащания. Целта на тези операции е: Кражба на данни от банкови карти и използването им за извършване на покупки или теглене на пари на банкомати и ПОС терминали, без да е необходимо физически да притежавате оригиналната карта или да знаете ПИН кода в повечето случаи.
Главните герои на тази масивна атака са две злонамерени програми по-специално: NGate y СуперКарта X. И двата зловредни софтуера революционизираха начина, по който престъпниците клонират кредитни карти, използвайки технологията Near Field Communication (NFC), която повечето съвременни мобилни телефони включват.
Какво е NGate и как се клонират карти?
NGate се появи в Европа след разследване на фирмата за сигурност ESET. Става въпрос за Злонамерено приложение, което може да предава данни от банкови карти в реално време. от мобилния телефон на жертвата към устройството на нападателя. Този нападател, с модифициран (руутнат) телефон с Android, може да емулира картата на жертвата и да извършва транзакции на банкомати и ПОС терминали.
Новото в NGate е злоупотребата с академичен инструмент, наречен NFCGate, проектиран от студенти в Германия за изучаване и анализ на NFC трафика. Киберпрестъпниците са адаптирали този проект за прихващане и препредаване на данни дистанционно. Тоест, Когато някой доближи картата си до заразения телефон, данните незабавно се прехвърлят към престъпника, дори ако той е на стотици километри разстояние..
Инфекцията обикновено започва с фишинг съобщение (SMS, WhatsApp или имейл), представяйки се за банката на жертвата, предупреждавайки за предполагаем проблем със сметката ѝ и предлагайки ѝ да изтегли приложение, за да го поправи. Нищо неподозиращите жертви инсталират приложението извън Google Play — NGate никога не е било достъпно в официалните магазини — и неволно предават контрола върху NFC модула на нападателите.
След като злонамереното приложение бъде инсталирано, то пита NFC достъп и казва на жертвата да доближи физическата си карта до телефона „за потвърждение“. В действителност телефонът чете информацията от картата и я предава на нападателя. NGate може дори да поиска допълнителна информация, като например вашия ПИН код, идентификационен номер на банкова сметка или дата на раждане, за да увеличи контрола върху акаунта.
SuperCard X: Най-новото поколение NFC зловреден софтуер за Android, който клонира карти
SuperCard X представлява еволюцията на NFC измамите. Открита от Cleafy Labs и със силни връзки с китайски киберпрестъпни групи, тази Зловредният софтуер се разпространява като MaaS (зловредният софтуер като услуга) в тайни форуми и Telegram канали, което прави възможно киберпрестъпници с ограничени технически познания да ги използват. Чрез плащане на абонамент, тези „клиенти“ получават достъп до софтуера, инструкциите и дори техническата поддръжка.
SuperCard X е била засечена при атаки, насочени предимно към Италия, въпреки че различни източници сочат, че заплахата вече има европейски обхват и може да е активна в Испания. Начинът на действие е изключително изпипан и добавя стъпки за социално инженерство, за да се увеличи максимално успехът на измамата.
Ето как работи атаката SuperCard X
- Всичко започва с а Измамни SMS или WhatsApp, в който жертвата е предупредена за предполагаем сериозен проблем с банковата си сметка. Призовават ви да се обадите на номер, на който, разбира се, отговаря престъпник, представящ се за екипа за поддръжка на банката.
- По време на разговора, нападателят прилага техники на социално инженерство за получаване на чувствителни данни: номер на карта и ПИН код. Можете дори да убедите жертвата да премахне ограниченията за разходи по картата си, използвайки приложението на банката си.
- Следващата стъпка е да се убеди потребителят да инсталира приложение, наречено „Reader“, което уж подобрява сигурността. Всъщност, „Читателят“ е самият той Зловреден софтуер SuperCard X, което изисква минимални, но важни разрешения, като например достъп до NFC.
- Жертвата, мислейки си, че участва в процес на проверка, държи картата си близо до телефона. Тогава, Четец събира NFC данни и ги изпраща на нападателите.
- От страна на престъпниците, устройство с Android изпълнява приложението „Tapper“, което Може да емулира картата на жертвата и да извършва безконтактни плащания и теглене на пари в брой от банкомати.. Тъй като това са малки транзакции, те често остават незабелязани от банките.
Тревожното е, че в момента SuperCard X не се открива от основните антивирусни програми, дори не е посочен в двигателите на VirusTotal, което го прави тиха и трудна за борба заплаха. Google уверява, че в Google Play няма приложения за този зловреден софтуер, но също така предупреждава, че не бива да се разчита сляпо на автоматизираните мерки за защита.
Защо тези зловредни програми за клониране на карти са толкова опасни?
Голямата разлика в сравнение с предишния зловреден софтуер се крие във възможността да предаване на NFC данни в реално време, което позволява на нападателите да симулират присъствието на физическата карта на банкомат или ПОС терминал, дори на големи разстояния. Освен това, както NGate, така и SuperCard X изискват минимални разрешителни, избягват наслагвания на екрана и не изискват достъп до SMS или обаждания, което ги прави още по-трудни за откриване.
Платформата SuperCard X използва протокола взаимен TLS (mTLS) за криптиране и защита на комуникацията между зловредния софтуер и контролния сървър. Това пречи на изследователите или правоприлагащите органи лесно да прихващат трафик, за да проследяват или идентифицират оператори на зловреден софтуер.
Тези аспекти, съчетани с разпространението чрез зловреден софтуер като услуга, демократизираха достъпа до NFC измами, което улесни достъпа на всеки киберпрестъпник, дори на тези, които нямат обширни технически познания, до готови за употреба инструменти за клониране на карти.
Кой е в светлината на прожекторите?
Основната цел на тези атаки е Потребители на Android с мобилен телефон с NFC чип и банкови карти с безконтактна технология. Атакуващите са насочени към потребители, които се доверяват на комуникациите на банката си, които нямат активирани разширени защити и най-вече които не са достатъчно предпазливи, когато инсталират приложения извън официалните магазини.
Обхватът обаче е глобален: инфраструктурата е била засечена в Европа, особено в Италия, но нищо не пречи на атаката да се разпространи в други страни. Банките и издателите на карти, както и разработчиците на финансови приложения, също са на радара на киберпрестъпниците, тъй като мащабно нарушение може да причини значителни финансови и репутационни щети.
Стратегии за превенция на потребители срещу зловреден софтуер за клониране на карти
Въпреки че може да изглежда, че ситуацията е критична, има практически мерки, които могат да сведат до минимум или дори да неутрализират риска срещу тези атаки. Ключът е в превенция и проактивно недоверие всяка подозрителна комуникация, която внушава страх или спешност, за да ви накара да инсталирате приложение или да споделите банковите си данни.
- Никога не инсталирайте приложения от връзки, предоставени чрез SMS, WhatsApp или имейл съобщения.. Ако вашата банка трябва да се свърже с вас, тя ще го направи по официални канали. Винаги отивайте директно в Google Play Store и проверявайте името на разработчика.
- Бъдете внимателни с приложения, които ви молят да сканирате или доближите банковата си карта до телефона си., освен ако не са официални приложения от самата банка и не сте го потвърдили на нейния уебсайт. Никой стандартен банков процес не изисква докосване на физическа карта до телефона ви извън официално приложение.
- Изключете NFC, когато няма да го използвате.. Много потребители имат чипа активиран по подразбиране, но го използват само от време на време. Изключете функцията в настройките на устройството си и я активирайте само от време на време за извършване на плащания.
- Винаги инсталирайте надежден софтуер за сигурност на мобилния си телефон и поддържайте операционната система и приложенията актуализирани. Новите версии включват корекции за известни уязвимости.
- Никога не споделяйте своя ПИН код или друга информация по телефона., дори ако обаждащият се твърди, че е от банката или от орган на властта. Банките никога не изискват този тип информация по телефона или чрез приложения за съобщения.
- Периодично преглеждайте движенията по вашите сметки. По този начин можете бързо да откриете всяка подозрителна дейност и да подадете иск, преди щетите да станат твърде големи.
- Използвайте портфейли или защитни калъфи с RFID/NFC блокиране Ако носите картите си със себе си, тъй като това може да попречи на физически нападател да ги прочете, без да забележите, въпреки че основният вектор за този зловреден софтуер е дигитален.
Какво могат да направят банките и разработчиците по отношение на зловредния софтуер, клониращ карти?
Отвъд индивидуалните предпазни мерки, финансови и технологични субекти Те имат много да подобрят, за да защитят клиентите си:
- Укрепване на системата за удостоверяване на банкоматите и ПОС терминалите безконтактно, добавяйки допълнителни стъпки за проверка в случай на аномални модели на употреба.
- Постоянно актуализирайте базите данни за измами, като си сътрудничи с компании за киберсигурност, които откриват нови варианти на зловреден софтуер.
- Проактивно информирайте клиентите за рисковете от инсталирането на приложения на трети страни и споделянето на данни. Много атаки се случват просто защото жертвата не е наясно, че банката ѝ никога не изисква поверителна информация извън официалните канали.
- Разработване на системи за ранно предупреждение В случай на необичайни банкови транзакции, превантивно блокиране на карти и свързване с потребителя за потвърждаване на тяхната легитимност.
Наистина ли сме безпомощни?
Образованието и превенцията остават най-добрите оръжия. Техниките за социално инженерство, макар и сложни, почти винаги зависят от това потребителят да предприеме стъпката да инсталира приложение или да сподели чувствителни данни. Официалните банкови приложения никога не изискват вашия ПИН или да доближавате картата си до телефона си, освен при много специфични и ясни процедури, при които можете да проверите нейната автентичност.
Ловци на зловреден софтуер като ESET и Cleafy продължават да откриват нови варианти, информирайки институциите и помагайки за подобряване на системите за защита, но скоростта, с която се развиват тези заплахи, изисква изключителна предпазливост от страна на потребителите. Споделете тази информация, за да могат повече потребители да бъдат наясно с това развитие..