Bezpečnostní společnost ESET odhalila novou útočnou kampaň, která kombinovala několik podvodných technik, včetně zneužití NFC technologie pro bezkontaktní platby. Cílem útoku bylo naklonovat platební kartu oběti a následně vybírat peníze přímo z jejího účtu prostřednictvím bankomatů.
Základem útoku se stal nebezpečný malware NGate, kterým hackeři mířili na klienty tří českých bank. Kombinovali použití malwaru s technikami sociálního inženýrství a phishingu. Podle dat společnosti ESET za útoky stála skupina, která na českém území působila od listopadu 2023 a malware šířila do března 2024. Jeden z pachatelů už byl zatčen a útoky by měly být v tuto chvíli zastaveny.
Díky malwaru NGate a technologii NFC dokázali útočníci klonovat data přímo z fyzických platebních karet obětí a přenášet je na vlastní zařízení. Následně mohli vybírat peníze z bankomatů. Jednalo se o malware zaměřený na platformu Android a první zaznamenaný případ, kdy byla tato kombinace technik, nazývaná crimeware, použita v praxi.
„Tento nový postup útoku s využitím technologie NFC jsme dosud neviděli v případě žádného dříve objeveného malwaru pro platformu Android. Je založen na nástroji NFCGate, který navrhli studenti na Technické univerzitě v Darmstadtu v Německu, aby dokázali zachytit, analyzovat nebo měnit přenos dat prostřednictvím technologie NFC. Proto jsme tuto novou rodinu malwaru pojmenovali NGate,“ říká Martin Jirkal z ESETu.
Na začátku byla opět lest a falešná aplikace
Malware NGate má schopnost přenášet data z fyzických platebních karet obětí, a to prostřednictvím škodlivé aplikace nainstalované na jejich zařízeních s platformou Android. K přenosu byla použita technologie NFC v telefonu oběti, který tak posloužil vlastně jako čtečka karet. Problém byl v tom, že NGate následně zkopíroval získané údaje z bankovní karty na chytrý telefon útočníka, na kterém byl proveden tzv. root zařízení (prolomení omezení ze strany jeho výrobce).
Oběti si stáhly a nainstalovaly malware NGate poté, co je útočníci lstí (phishing) přiměli myslet si, že komunikují se svou bankou. Záminkou pro komunikaci bylo smyšlené napadení jejich zařízení. Ve skutečnosti samy oběti nevědomky nakazily svá zařízení malwarem, když si po kliknutí na podvodný odkaz v SMS zprávě, která je informovala o přeplatku na daních, stáhly a nainstalovaly škodlivou aplikaci.
Schéma útoku s malwarem NGate
Malware NGate následně vyzýval oběti k zadání citlivých informací, jako je bankovní identita, datum narození a PIN kód k jejich platebním kartám. Oběti byly vyzvány k tomu, aby na svých chytrých telefonech zapnuly funkci NFC. Poté měly přiložit svou fyzickou platební kartu na zadní stranu svého chytrého telefonu, dokud škodlivá aplikace kartu nerozpoznala.
Hlavním cílem útoku bylo umožnit zločincům provádět neoprávněné výběry z bankovních účtů obětí. V případě, že by tento postup selhal, měli útočníci ještě záložní plán – převést peníze z bankovních účtů obětí na jiné účty.