قالت شركة الأمن ESET إن البرمجيات الخبيثة المكتشفة حديثًا لنظام Android تسرق بيانات بطاقة الدفع باستخدام قارئ NFC الخاص بالجهاز المصاب وتمريرها إلى المهاجمين، وهي تقنية جديدة تستنسخ البطاقة بشكل فعال بحيث يمكن استخدامها في أجهزة الصراف الآلي أو محطات نقاط البيع.
أطلق باحثو ESET على البرنامج الضار اسم NGate لأنه يتكامل بوابة NFCأداة مفتوحة المصدر لالتقاط أو تحليل أو تعديل حركة مرور NFC. اختصار ل التواصل الميداني القريبNFC هو بروتوكول يسمح لجهازين بالاتصال لاسلكيًا عبر مسافات قصيرة.
سيناريو الهجوم الجديد على أندرويد
وقال لوكاس ستيفانكو، الباحث في شركة ESET، في بيان صحفي: “هذا سيناريو هجوم جديد على Android، وهذه هي المرة الأولى التي نرى فيها برامج ضارة تعمل بنظام Android بهذه الإمكانية المستخدمة على نطاق واسع”. فيديو مما يدل على الاكتشاف. “يمكن للبرامج الضارة NGate نقل بيانات NFC من بطاقة الضحية من خلال جهاز مخترق إلى الهاتف الذكي للمهاجم، والذي يمكنه بعد ذلك محاكاة البطاقة وسحب الأموال من ماكينة الصراف الآلي. »
لوكاس ستيفانكو – كشف قناع NGate.
تم تثبيت البرنامج الضار عبر سيناريوهات التصيد الاحتيالي التقليدية، مثل إرسال رسائل إلى الأهداف وخداعهم لتثبيت NGate من نطاقات سريعة الزوال تتظاهر بأنها بنوك أو تطبيقات مصرفية رسمية عبر الهاتف المحمول متاحة على Google Play. من خلال التظاهر بأنه تطبيق شرعي من البنك المستهدف، يطالب NGate المستخدم بإدخال معرف عميل البنك وتاريخ الميلاد ورقم التعريف الشخصي للبطاقة. ثم يطلب التطبيق من المستخدم تمكين تقنية NFC ومسح البطاقة ضوئيًا.
قالت شركة ESET إنها اكتشفت أن NGate قد تم استخدامه ضد ثلاثة بنوك تشيكية بدءًا من نوفمبر وحددت ستة تطبيقات NGate منفصلة متداولة بين ذلك الحين ومارس من هذا العام. بعض التطبيقات المستخدمة في الأشهر الأخيرة من الحملة كانت في شكل PWA، وهو اختصار لـ تطبيقات الويب التقدميةوالتي، كما ورد يوم الخميس، يمكن تثبيتها على أجهزة Android وiOS حتى عندما تمنع الإعدادات (إلزامية على iOS) تثبيت التطبيقات المتاحة من مصادر غير رسمية.
السبب الأكثر ترجيحًا لانتهاء حملة NGate في مارس، وفقًا لشركة ESET، هو قف ألقت الشرطة التشيكية القبض على رجل يبلغ من العمر 22 عامًا كان يرتدي قناعًا أثناء سحب الأموال من أجهزة الصراف الآلي في براغ. وقال المحققون إن المشتبه به “ابتكر طريقة جديدة للاحتيال على الناس” باستخدام مخطط يبدو مطابقًا لمخطط NGate.
وأوضح ستيفانكو وزميله الباحث في شركة ESET، جاكوب عثماني، كيفية عمل الهجوم:
وكشف إعلان الشرطة التشيكية أن سيناريو الهجوم بدأ بإرسال المهاجمين رسائل نصية إلى الضحايا المحتملين بخصوص الإقرار الضريبي، بما في ذلك رابط لموقع ويب للتصيد الاحتيالي يتظاهر بأنه خاص بالبنوك. من المرجح أن تؤدي هذه الروابط إلى تطبيقات PWA ضارة. بمجرد قيام الضحية بتثبيت التطبيق وإدخال بيانات الاعتماد الخاصة به، تمكن المهاجم من الوصول إلى حسابه. ثم اتصل بالضحية متظاهرًا بأنه موظف في البنك. تم إبلاغ الضحية أن حسابه قد تم اختراقه، على الأرجح بسبب الرسالة النصية السابقة. كان المهاجم يقول الحقيقة في الواقع: لقد تم اختراق حساب الضحية، لكن هذه الحقيقة أدت بعد ذلك إلى كذبة أخرى.
ومن أجل “حماية” أموالهم، طُلب من الضحية تغيير رقم التعريف الشخصي (PIN) الخاص به والتحقق من بطاقته المصرفية باستخدام تطبيق الهاتف المحمول – البرنامج الضار NGate. تم إرسال رابط لتنزيل NGate عبر الرسائل القصيرة. نعتقد أنه في تطبيق NGate، سيُدخل الضحايا رقم التعريف الشخصي القديم الخاص بهم لإنشاء رقم جديد ويضعون بطاقتهم على الجزء الخلفي من هواتفهم الذكية للتحقق من التغيير أو تطبيقه.
وبما أن المهاجم كان لديه بالفعل حق الوصول إلى الحساب المخترق، فيمكنه تعديل حدود السحب. إذا لم تنجح طريقة ترحيل NFC، فيمكنه ببساطة تحويل الأموال إلى حساب آخر. ومع ذلك، فإن استخدام NGate يسهل على المهاجم الوصول إلى أموال الضحية دون ترك أي أثر على حسابه المصرفي. يظهر رسم تخطيطي لتسلسل الهجوم في الشكل 6.
وقال الباحثون إن NGate أو تطبيقات مماثلة يمكن استخدامها في سيناريوهات أخرى، مثل استنساخ بعض البطاقات الذكية المستخدمة لأغراض أخرى. سيعمل الهجوم عن طريق نسخ المعرف الفريد لعلامة NFC، والمختصر بـ UID.
كتب الباحثون: “أثناء اختبارنا، نجحنا في نقل UID الخاص بملصق MIFARE Classic 1K، والذي يستخدم عادةً لتذاكر النقل العام، وشارات الهوية، وبطاقات العضوية أو الطلاب والمزيد من “حالات الاستخدام المماثلة الأخرى”. “باستخدام NFCGate، من الممكن تنفيذ هجوم ترحيل NFC لقراءة رمز NFC في موقع واحد، وفي الوقت الفعلي، الوصول إلى المباني في موقع آخر عن طريق محاكاة UID الخاص به، كما هو موضح في الشكل 7. »
تكبير/ الشكل 7. هاتف ذكي يعمل بنظام Android (على اليمين) يقرأ ويرسل المعرف الفريد (UID) الخاص برمز NFC خارجي إلى جهاز آخر (يسار).
إسيت
يمكن أن يحدث الاستنساخ في المواقف التي يكون فيها للمهاجم إمكانية الوصول الفعلي إلى البطاقة أو يكون قادرًا على قراءة البطاقة لفترة وجيزة في المحافظ أو المحافظ أو حقائب الظهر أو حافظات الهواتف الذكية التي تحتوي على بطاقات. لتنفيذ مثل هذه الهجمات ومحاكاتها، يجب أن يكون لدى المهاجم جهاز Android مُخصص ومخصص. الهواتف المصابة بـ NGate لم يكن لديها هذا المطلب.
