Nowe złośliwe oprogramowanie atakuje użytkowników polskich banków

CERT Polska wykrył w ostatnich miesiącach nowe próbki mobilnego złośliwego oprogramowania NGate, które wykorzystuje technologię NFC do kradzieży pieniędzy z bankomatów. Atak wymierzony jest w klientów polskich instytucji finansowych.

Nowa fala ataków hakerówNowa fala ataków hakerów
Źródło zdjęć: © Cert
Robert Kędzierski
oprac.  Robert Kędzierski

Przestępcy nie kradną fizycznej karty płatniczej. Przekazują ruch NFC z telefonu ofiary do urządzenia znajdującego się przy bankomacie, co umożliwia nieautoryzowane wypłaty gotówki. Cały proces odbywa się zdalnie, bez konieczności posiadania rzeczywistej karty.

Jak przebiega atak na użytkownika

Ofiara otrzymuje wiadomość phishingową przez e-mail lub SMS informującą o rzekomim problemie technicznym lub incydencie bezpieczeństwa. Link prowadzi na stronę nakłaniającą do instalacji aplikacji na system Android. Analizowana próbka była dystrybuowana przez serwis files.fm.

Następnie oszust dzwoni, podając się za pracownika banku, aby uwiarygodnić instalację aplikacji i rzekomo potwierdzić tożsamość. Użytkownik otrzymuje też SMS mający potwierdzić autentyczność rzekomego pracownika instytucji finansowej.

Biznes na franczyzie. Mówi, na ile może liczyć franczyzobiorca

W zainstalowanej aplikacji ofiara jest proszona o zweryfikowanie karty płatniczej. Musi przyłożyć fizyczną kartę do telefonu, wykorzystując technologię NFC, a następnie wpisać PIN na ekranowej klawiaturze. Aplikacja przechwytuje dane NFC karty, te same które przepływają przez terminal lub bankomat, i wysyła je przez Internet do urządzenia atakującego.

Urządzenie przestępcy znajdującego się przy bankomacie odtwarza otrzymane dane. Dzięki przekazanym informacjom karty i kodowi PIN atakujący wypłaca gotówkę z konta ofiary. Cały proces działa jak przekaźnik, gdzie telefon ofiary służy jako czytnik, a urządzenie przestępcy jako emiter przy bankomacie.

Szczegóły techniczne i metody ochrony

Aplikacja rejestruje się jako usługa płatnicza HCE, czyli Host Card Emulation, w systemie Android. Oznacza to, że może zachowywać się jak wirtualna karta płatnicza. Adres serwera i jego działanie są ukryte w zaszyfrowanym pliku dołączonym do aplikacji.

Eksperci CERT Polska odszyferowali zasób i wydobyli aktywny serwer dowodzenia i kontroli pod adresem IP 91.84.97.13 na porcie 5653. Interfejs aplikacji zawiera klawiaturę do wprowadzania PIN, który jest natychmiast wysyłany do atakującego razem z danymi NFC. Konfiguracja jest przechowywana jako zaszyfrowany zasób, a klucz do odszyfrowania pochodzi z certyfikatu podpisującego aplikację.

Aby się chronić przed tego typu atakami, należy pobierać aplikacje bankowe wyłącznie z oficjalnych sklepów, takich jak Google Play Store lub App Store. Jeśli dzwoni rzekomy pracownik banku informując o problemie, należy rozłączyć się i oddzwonić na oficjalny numer instytucji. Ta metoda w stu procentach weryfikuje prawdziwość połączenia.

Aplikacja działa w trybie czytnika, przechwytując komunikaty EMV APDU oraz PIN, które następnie przesyła prostym protokołem TCP do zakodowanego serwera. Po przyłożeniu karty i wpisaniu PIN napastnik może przekazać sesję i dokonać wypłaty gotówki z bankomatu. Rodzina tego złośliwego oprogramowania dostarcza również usługę HCE kategorii płatności, umożliwiającą pełnienie roli nadajnika w bankomacie.

Nowy sposób, by kraść pieniądze. Tak można stracić spore pieniądze
Nowy sposób, by kraść pieniądze. Tak można stracić spore pieniądze
Wybrane dla Ciebie
Senat zatwierdził ustawę o portalu cen mieszkań bez poprawek
Senat zatwierdził ustawę o portalu cen mieszkań bez poprawek
Podwyżka CIT dla banków. Jest ostateczna decyzja parlamentu
Podwyżka CIT dla banków. Jest ostateczna decyzja parlamentu
"Chiny wygrają z USA wyścig o sztuczną inteligencję". Szef Nvidii mówi dlaczego
"Chiny wygrają z USA wyścig o sztuczną inteligencję". Szef Nvidii mówi dlaczego
Pieniądze dla samorządów. Senat przyjął nowelizację ustawy
Pieniądze dla samorządów. Senat przyjął nowelizację ustawy
Donald Trump ogłasza porozumienie ws. obniżenia cen leków na otyłość
Donald Trump ogłasza porozumienie ws. obniżenia cen leków na otyłość
Meta generuje miliardy z reklam oszustw i zakazanych towarów
Meta generuje miliardy z reklam oszustw i zakazanych towarów
Dino zwiększa zysk i przychody, ale wolniej niż szacowali analitycy
Dino zwiększa zysk i przychody, ale wolniej niż szacowali analitycy
Leszek Kłosiński nie żyje. Tragiczna śmierć biznesmena
Leszek Kłosiński nie żyje. Tragiczna śmierć biznesmena
Wielka kontrola 200 tys. przesyłek z Shein na największym lotnisku we Francji. Otwierają wszystkie
Wielka kontrola 200 tys. przesyłek z Shein na największym lotnisku we Francji. Otwierają wszystkie
Niemiecki gigant zamyka zakład w Polsce. Pracę traci blisko 160 osób
Niemiecki gigant zamyka zakład w Polsce. Pracę traci blisko 160 osób
Nieoficjalnie: LOT na ostatniej prostej do przejęcia Smartwings. Oto co może zyskać
Nieoficjalnie: LOT na ostatniej prostej do przejęcia Smartwings. Oto co może zyskać
Wyższy podatek dla banków. Senat zdecydował, wprowadził też poprawki
Wyższy podatek dla banków. Senat zdecydował, wprowadził też poprawki