ESET, ATM’lerden kurbanın parasını çalmak için NFC trafiğini aktaran Android ziyanlı yazılımını keşfetti
ESET araştırmacıları, üç Çek bankasının müşterilerini maksat alan bir kabahat yazılımı kampanyasını ortaya çıkardı. Saldırganlar toplumsal mühendislik, kimlik avı ve Android makus hedefli yazılımını içeren teknikleri yeni bir akın senaryosunda birleştirdi.
ESET, Çek bankalarını taklit eden iletilerin Çekya’daki rastgele telefon müşterilerine gönderildiğine ve bu hareketin sonucunda da üç bankanın müşterilerini ağlarına düşürdüklerine inanıyor. Saldırganlar kurbanların fizikî ödeme kartlarından NFC datalarını kopyalayarak ve bu dataları saldırganın aygıtına aktararak yepyeni kartı taklit edebilmiş ve bir ATM’den para çekmişler.
ESET’in NGate ismini verdiği berbat maksatlı yazılım, Android aygıtlarına yüklenen makus emelli bir uygulama aracılığıyla kurbanların ödeme kartlarındaki bilgileri saldırganın root’lu Android telefonuna aktarma üzere eşsiz bir yeteneğe sahip. Kabahat kampanyasının birincil gayesi, kurbanların banka hesaplarından yetkisiz ATM para çekme süreçlerini kolaylaştırmak. Bu yasa dışı süreç, kurbanların fizikî ödeme kartlarındaki yakın alan irtibatı (NFC) bilgilerinin, NGate Android makûs hedefli yazılımı kullanılarak ele geçirilmiş Android akıllı telefonları aracılığıyla saldırganın aygıtına aktarılmasıyla gerçekleştirilmiş. Saldırgan daha sonra bu dataları ATM süreçlerini gerçekleştirmek için kullanmış. Bu metodun başarısız olması durumunda saldırganın kurbanların hesaplarından öteki banka hesaplarına para aktarmak için oluşturduğu bir yedek planın da olduğu belirlendi.
Yeni tehdidi ve tekniği keşfeden Lukáš Štefanko, “Bu yeni NFC transfer tekniğini daha evvel keşfedilen hiçbir Android makus hedefli yazılımında görmedik. Teknik, Almanya’daki Darmstadt Teknik Üniversitesi öğrencileri tarafından NFC trafiğini yakalamak, tahlil etmek yahut değiştirmek için tasarlanan NFCGate isimli bir araca dayanıyor; bu nedenle bu yeni makus emelli yazılım ailesine NGate ismini verdik” dedi. Mağdurlar, bankalarıyla irtibat kurduklarını ve aygıtlarının tehlikede olduğunu düşünerek kandırıldıktan sonra berbat maksatlı yazılımı indirip yüklediler. Gerçekte kurbanlar, potansiyel bir vergi iadesi ile ilgili aldatıcı bir SMS iletisindeki kontaktan bir uygulama indirip yükleyerek farkında olmadan kendi Android aygıtlarını tehlikeye atmışlar.
NGate hiçbir vakit resmi Google Play mağazasında yer almadı
NGate Android makûs gayeli yazılımı, Kasım 2023’ten bu yana Çekya’da faaliyet gösteren bir tehdit aktörünün kimlik avı faaliyetleriyle ilgili. Fakat ESET, Mart 2024’te bir şüphelinin tutuklanmasının akabinde bu faaliyetlerin askıya alındığına inanıyor. ESET Research, önde gelen Çek bankalarının müşterilerini hedef alan tehdit aktörünü birinci olarak Kasım 2023’ün sonunda fark etti. Makus hedefli yazılım, yasal bankacılık web sitelerini yahut Google Play mağazasında bulunan resmi taşınabilir bankacılık uygulamalarını taklit eden kısa ömürlü alan isimleri aracılığıyla teslim edildi. Bu geçersiz alan isimleri, bir müşterinin markasını maksat alan tehditlerin izlenmesini sağlayan ESET Marka İstihbarat Hizmeti aracılığıyla tespit edildi. Tıpkı ay içinde ESET, bulguları müşterilerine bildirdi.
ESET’in daha evvelki bir yayınında bildirdiği üzere saldırganlar etaplı web uygulamalarının (PWA’lar) potansiyelinden yararlandılar lakin daha sonra WebAPK’lar olarak bilinen PWA’ların daha sofistike bir versiyonunu kullanarak stratejilerini geliştirdiler. Sonunda operasyon NGate ziyanlı yazılımının dağıtılmasıyla sonuçlandı.
ESET Research, Mart 2024’te NGate Android makus maksatlı yazılımının, daha evvel berbat maksatlı PWA’lar ve WebAPK’lar sunan kimlik avı kampanyalarını kolaylaştırmak için kullanılan birebir dağıtım alanlarında kullanılabilir hale geldiğini keşfetti. Yüklendikten ve açıldıktan sonra NGate, kullanıcının bankacılık bilgilerini isteyen uydurma bir web sitesi görüntülüyor ve bu bilgiler daha sonra saldırganın sunucusuna gönderiliyor.
Kimlik avı yeteneklerine ek olarak, NGate makûs hedefli yazılımı, NFCGate ismi verilen ve NFC bilgilerini iki aygıt (kurbanın aygıtı ve failin cihazı) ortasında aktarmak için berbata kullanılan bir araçla birlikte gelir. Bu özelliklerden kimileri sırf esaslı aygıtlarda çalışır fakat bu durumda, NFC trafiğini esaslı olmayan aygıtlardan da aktarmak mümkün. NGate ayrıyeten kurbanlarından banka müşteri kimlikleri, doğum tarihleri ve banka kartlarının PIN kodu üzere hassas bilgileri girmelerini ister. Ayrıyeten akıllı telefonlarındaki NFC özelliğini açmalarını ve akabinde kurbanlardan, makus niyetli uygulama kartı tanıyana kadar ödeme kartlarını akıllı telefonlarının gerisine yerleştirmeleri talep eder.
NGate makus hedefli yazılımı tarafından kullanılan tekniğe ek olarak, ödeme kartlarına fizikî erişimi olan bir saldırgan potansiyel olarak bunları kopyalayabilir ve taklit edebilir. Bu teknik, bilhassa halka açık ve kalabalık yerlerde kartların bulunduğu başıboş çantalar, cüzdanlar, sırt çantaları yahut akıllı telefon kılıfları aracılığıyla kartları okumaya çalışan bir saldırgan tarafından kullanılabilir. Lakin bu senaryo çoklukla terminal noktalarında küçük temassız ödemeler yapmakla sonludur.
Lukáš Štefanko şu tekliflerde bulundu; “Bu cins karmaşık hücumlardan korunmak için kimlik avı, toplumsal mühendislik ve Android makûs maksatlı yazılımları üzere taktiklere karşı muhakkak proaktif adımların atılması gerekmektedir. Bu da web sitelerinin URL’lerini denetim etmek, resmi mağazalardan uygulama indirmek, PIN kodlarını bâtın tutmak, akıllı telefonlarda güvenlik uygulamaları kullanmak, gereksinim duyulmadığında NFC fonksiyonunu kapatmak, esirgeyici kılıflar kullanmak yahut kimlik doğrulama ile korunan sanal kartlar kullanmak manasına geliyor.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
