Android Kötü Amaçlı Yazılımı, Daha Önce Görülmemiş Bir Teknikle Ödeme Kartı Verilerini Çalıyor
Yeni keşfedilen bir Android kötü amaçlı yazılımı, enfekte olmuş bir cihazın NFC okuyucusunu kullanarak ödeme kartı verilerini çalıyor ve bu verileri saldırganlara iletiyor. Bu yenilikçi teknik, kartın ATM’lerde veya satış noktası terminallerinde kullanılabilmesi için etkili bir şekilde kopyalanmasını sağlıyor, diyor güvenlik firması ESET.
ESET araştırmacıları, bu kötü amaçlı yazılıma NGate adını verdi, çünkü NFC trafiğini yakalamak, analiz etmek veya değiştirmek için açık kaynaklı bir araç olan NFCGate’i içeriyor. NFC, Yakın Alan İletişimi anlamına gelir ve iki cihazın kısa mesafelerde kablosuz olarak iletişim kurmasını sağlayan bir protokoldür.
Yeni Android Saldırı Senaryosu
“ESET araştırmacısı Lukas Stefanko, bu keşfi gösteren bir videoda, ‘Bu, yeni bir Android saldırı senaryosu ve bu yetenekle kullanılan bir Android kötü amaçlı yazılımını ilk kez görüyoruz,’ dedi. ‘NGate kötü amaçlı yazılımı, bir kurbanın kartından NFC verilerini ele geçirip, bu verileri saldırganın akıllı telefonuna iletebilir. Saldırganın telefonu daha sonra kartı taklit ederek ATM’den para çekebilir.’”
NGate’in Maskesini Düşürmek
Kötü amaçlı yazılım, saldırganların hedeflere mesaj göndererek ve onları NGate’i bankaların veya Google Play’de bulunan resmi mobil bankacılık uygulamalarını taklit eden kısa ömürlü alan adlarından yüklemeleri için kandırmaları gibi geleneksel oltalama senaryolarıyla yüklendi. Hedefin bankasına ait meşru bir uygulama gibi davranan NGate, kullanıcıdan bankacılık müşteri kimliği, doğum tarihi ve karta ait PIN kodunu girmesini ister. Uygulama daha sonra kullanıcıdan NFC’yi açmasını ve kartı taramasını ister.
ESET, NGate’in Kasım ayından itibaren üç Çek bankasına karşı kullanıldığını ve bu tarihten Mart ayına kadar altı ayrı NGate uygulaması tespit ettiğini bildirdi. Kampanyanın sonraki aylarında kullanılan bazı uygulamalar, hem Android hem de iOS cihazlarda resmi olmayan kaynaklardan uygulama yüklenmesini önleyen ayarlar (iOS’ta zorunlu) olsa bile yüklenebilen PWAs (Progressive Web Apps) şeklinde geldi.
ESET, NGate kampanyasının Mart ayında sona ermesinin en muhtemel nedeninin, Prag’daki ATM’lerden para çekerken maske takan 22 yaşındaki bir kişinin Çek polisi tarafından tutuklanması olduğunu söyledi. Araştırmacılar, şüphelinin insanları dolandırmak için NGate’e benzer bir plan geliştirdiğini belirtti.
Stefanko ve diğer ESET araştırmacısı Jakub Osmani, saldırının nasıl çalıştığını açıkladı:
Çek polisinin duyurusu, saldırganların potansiyel kurbanlara bankaları taklit eden bir kimlik avı web sitesine yönlendiren bir link içeren SMS mesajları göndererek saldırı senaryosunu başlattığını ortaya koydu. Bu linkler büyük olasılıkla kötü amaçlı PWAs’a yönlendiriyordu. Kurban uygulamayı yükleyip kimlik bilgilerini girdikten sonra, saldırgan kurbanın hesabına erişim sağladı. Daha sonra saldırgan, kurbanı arayarak bir banka çalışanı gibi davrandı. Kurban, hesabının daha önceki kısa mesaj nedeniyle tehlikeye girdiği konusunda bilgilendirildi. Saldırgan aslında gerçeği söylüyordu – kurbanın hesabı tehlikeye girmişti, ancak bu gerçek, ardından başka bir yalanın söylenmesine neden oldu.
Kurbanın “fonlarını korumak” için, PIN kodunu değiştirmesi ve bankacılık kartını doğrulaması istendi – bu da NGate kötü amaçlı yazılımını kullanarak yapıldı. NGate uygulamasını indirmek için bir link SMS ile gönderildi. Şüphelerimize göre, NGate uygulaması içinde, kurbanlar eski PIN kodlarını girip yeni bir tane oluşturdular ve doğrulama veya değişiklik yapmak için kartlarını akıllı telefonlarının arkasına yerleştirdiler.
Saldırgan, zaten tehlikeye giren hesaba erişimi olduğundan, para çekme limitlerini değiştirebilir. Eğer NFC aktarım yöntemi işe yaramazsa, parayı başka bir hesaba basitçe transfer edebilirlerdi. Ancak NGate’i kullanmak, saldırganın kurbanın fonlarına erişmesini daha kolay hale getirir ve saldırganın kendi banka hesabına geri iz bırakmadan fonları ele geçirmesini sağlar. Saldırı dizisinin bir diyagramı Şekil 6’da gösterilmiştir.
Araştırmacılar, NGate’in veya benzer uygulamaların, diğer amaçlar için kullanılan bazı akıllı kartları kopyalamak gibi başka senaryolarda da kullanılabileceğini söyledi. Saldırı, NFC etiketinin benzersiz kimliğini, kısaltılmış haliyle UID’yi kopyalayarak çalışır.
“Testlerimiz sırasında, genellikle toplu taşıma biletleri, kimlik kartları, üyelik kartları veya öğrenci kartları için kullanılan MIFARE Classic 1K etiketinden başarıyla UID aktardık,” diye yazdılar. “NFCGate kullanarak, bir NFC etiketini bir konumda okuyup başka bir cihaz aracılığıyla emüle ederek gerçek zamanlı olarak başka bir konumda erişim sağlamak mümkündür, bu da Şekil 7’de gösterilmiştir.”
Şekil 7: Android akıllı telefon (sağda), dış NFC etiketinin UID’sini okuyup başka bir cihaza (solda) aktardı.
Klonlama, saldırganın bir karta fiziksel erişimi olduğu veya dikkat çekmeyen çantalarda, cüzdanlarda, sırt çantalarında veya kart tutan telefon kılıflarında bir kartı kısa bir süre okuma imkanı bulduğu durumlarda gerçekleştirilebilir. Bu tür saldırıları gerçekleştirmek ve emüle etmek, saldırganın köklendirilmiş ve özelleştirilmiş bir Android cihazına sahip olmasını gerektirir. NGate ile enfekte olmuş telefonlar ise bu gereksinime sahip değildi.