Nowe złośliwe oprogramowanie atakuje użytkowników polskich banków

CERT Polska wykrył w ostatnich miesiącach nowe próbki mobilnego złośliwego oprogramowania NGate, które wykorzystuje technologię NFC do kradzieży pieniędzy z bankomatów. Atak wymierzony jest w klientów polskich instytucji finansowych.

Nowa fala ataków hakerówNowa fala ataków hakerów
Źródło zdjęć: © Cert
Robert Kędzierski
oprac.  Robert Kędzierski

Przestępcy nie kradną fizycznej karty płatniczej. Przekazują ruch NFC z telefonu ofiary do urządzenia znajdującego się przy bankomacie, co umożliwia nieautoryzowane wypłaty gotówki. Cały proces odbywa się zdalnie, bez konieczności posiadania rzeczywistej karty.

Jak przebiega atak na użytkownika

Ofiara otrzymuje wiadomość phishingową przez e-mail lub SMS informującą o rzekomim problemie technicznym lub incydencie bezpieczeństwa. Link prowadzi na stronę nakłaniającą do instalacji aplikacji na system Android. Analizowana próbka była dystrybuowana przez serwis files.fm.

Następnie oszust dzwoni, podając się za pracownika banku, aby uwiarygodnić instalację aplikacji i rzekomo potwierdzić tożsamość. Użytkownik otrzymuje też SMS mający potwierdzić autentyczność rzekomego pracownika instytucji finansowej.

Biznes na franczyzie. Mówi, na ile może liczyć franczyzobiorca

W zainstalowanej aplikacji ofiara jest proszona o zweryfikowanie karty płatniczej. Musi przyłożyć fizyczną kartę do telefonu, wykorzystując technologię NFC, a następnie wpisać PIN na ekranowej klawiaturze. Aplikacja przechwytuje dane NFC karty, te same które przepływają przez terminal lub bankomat, i wysyła je przez Internet do urządzenia atakującego.

Urządzenie przestępcy znajdującego się przy bankomacie odtwarza otrzymane dane. Dzięki przekazanym informacjom karty i kodowi PIN atakujący wypłaca gotówkę z konta ofiary. Cały proces działa jak przekaźnik, gdzie telefon ofiary służy jako czytnik, a urządzenie przestępcy jako emiter przy bankomacie.

Szczegóły techniczne i metody ochrony

Aplikacja rejestruje się jako usługa płatnicza HCE, czyli Host Card Emulation, w systemie Android. Oznacza to, że może zachowywać się jak wirtualna karta płatnicza. Adres serwera i jego działanie są ukryte w zaszyfrowanym pliku dołączonym do aplikacji.

Eksperci CERT Polska odszyferowali zasób i wydobyli aktywny serwer dowodzenia i kontroli pod adresem IP 91.84.97.13 na porcie 5653. Interfejs aplikacji zawiera klawiaturę do wprowadzania PIN, który jest natychmiast wysyłany do atakującego razem z danymi NFC. Konfiguracja jest przechowywana jako zaszyfrowany zasób, a klucz do odszyfrowania pochodzi z certyfikatu podpisującego aplikację.

Aby się chronić przed tego typu atakami, należy pobierać aplikacje bankowe wyłącznie z oficjalnych sklepów, takich jak Google Play Store lub App Store. Jeśli dzwoni rzekomy pracownik banku informując o problemie, należy rozłączyć się i oddzwonić na oficjalny numer instytucji. Ta metoda w stu procentach weryfikuje prawdziwość połączenia.

Aplikacja działa w trybie czytnika, przechwytując komunikaty EMV APDU oraz PIN, które następnie przesyła prostym protokołem TCP do zakodowanego serwera. Po przyłożeniu karty i wpisaniu PIN napastnik może przekazać sesję i dokonać wypłaty gotówki z bankomatu. Rodzina tego złośliwego oprogramowania dostarcza również usługę HCE kategorii płatności, umożliwiającą pełnienie roli nadajnika w bankomacie.

Nowy sposób, by kraść pieniądze. Tak można stracić spore pieniądze
Nowy sposób, by kraść pieniądze. Tak można stracić spore pieniądze
Wybrane dla Ciebie
Rekord na rynku pracy. Blisko 1,5 mln Polaków bez pełnej ochrony
Rekord na rynku pracy. Blisko 1,5 mln Polaków bez pełnej ochrony
150 zł za dojazd do klienta. Dziennie ma pięć robót. Zarabia 15 tys. zł
150 zł za dojazd do klienta. Dziennie ma pięć robót. Zarabia 15 tys. zł
Specjalna przesyłka od rządu. Trafi do każdego domu w Polsce
Specjalna przesyłka od rządu. Trafi do każdego domu w Polsce
Koniec z wożeniem tekstyliów na PSZOK. Te miasta zmieniają zasady od stycznia
Koniec z wożeniem tekstyliów na PSZOK. Te miasta zmieniają zasady od stycznia
Ma 60 lat. Zamarła, gdy otworzyła list z ZUS-u
Ma 60 lat. Zamarła, gdy otworzyła list z ZUS-u
Tańsze leki w USA. Trump ogłasza porozumienie z koncernami
Tańsze leki w USA. Trump ogłasza porozumienie z koncernami
Spółka CPK wybrała wariant nowej linii kolejowej. Planowana prędkość: 250 km/h
Spółka CPK wybrała wariant nowej linii kolejowej. Planowana prędkość: 250 km/h
Ministerstwo ujawnia. Tyle wydajemy na kapelanów w skarbówce
Ministerstwo ujawnia. Tyle wydajemy na kapelanów w skarbówce
Co piąty Polak wyrzuca do śmieci ogólnych. Grozi im 5 tys. zł kary
Co piąty Polak wyrzuca do śmieci ogólnych. Grozi im 5 tys. zł kary
To już naprawdę koniec. Poznaliśmy datę otwarcia Obwodnicy Metropolii Trójmiejskiej
To już naprawdę koniec. Poznaliśmy datę otwarcia Obwodnicy Metropolii Trójmiejskiej
Wolna Wigilia dzieli rynek pracy. Związki kontra pracodawcy
Wolna Wigilia dzieli rynek pracy. Związki kontra pracodawcy
Najniższa waloryzacja od lat? Tak zmienią się emerytury w 2026 roku
Najniższa waloryzacja od lat? Tak zmienią się emerytury w 2026 roku