Az ESET kutat\u00f3i felfedtek egy vadonat\u00faj sz\u00e1m\u00edt\u00f3g\u00e9pes k\u00e1rtev\u0151 programmal v\u00e9grehajtott, \u00fagynevezett crimeware kamp\u00e1nyt, amely h\u00e1rom cseh bank \u00fcgyfeleit vette c\u00e9lba. Az ESET \u00e1ltal NGate-nek elnevezett Android alap\u00fa k\u00e1rt\u00e9kony szoftver \u00fajszer\u0171 m\u00f3don k\u00e9pes az \u00e1ldozatok bankk\u00e1rty\u00e1inak adatait a t\u00e1mad\u00f3k telefonj\u00e1ra tov\u00e1bb\u00edtani. A t\u00e1mad\u00f3k els\u0151dleges c\u00e9lja az volt, hogy ATM-eken kereszt\u00fcl k\u00e9szp\u00e9nzt vegyenek fel az \u00e1ldozatok banksz\u00e1ml\u00e1ir\u00f3l. Ezt \u00fagy \u00e9rt\u00e9k el, hogy a fizikai bankk\u00e1rty\u00e1k NFC-adatait a t\u00e1mad\u00f3 k\u00e9sz\u00fcl\u00e9k\u00e9re tov\u00e1bb\u00edtott\u00e1k az NGate malware seg\u00edts\u00e9g\u00e9vel. Amennyiben ez a m\u00f3dszer sikertelen volt, a tettesnek m\u00e9g arra is volt egy tartal\u00e9k terve, hogy az \u00e1ldozatok sz\u00e1ml\u00e1ir\u00f3l m\u00e1s banksz\u00e1ml\u00e1kra utaljon \u00e1t p\u00e9nz\u00f6sszegeket.<\/p>\n\n\n\n
A 2010-es \u00e9vek m\u00e1sodik fel\u00e9ben \u00faj fizet\u00e9si szabv\u00e1nyk\u00e9nt jelent meg a r\u00e1di\u00f3frekvenci\u00e1s azonos\u00edt\u00e1sb\u00f3l (RFID) kifejlesztett k\u00f6zelmez\u0151s kommunik\u00e1ci\u00f3 (Near Field Communication, NFC). Ezzel a technol\u00f3gi\u00e1val az eredeti chipalap\u00fa bankk\u00e1rty\u00e1k m\u00e9g felhaszn\u00e1l\u00f3bar\u00e1tabb\u00e1 v\u00e1ltak, mivel ahelyett, hogy a fizet\u00e9si termin\u00e1lokba \u00e9s ATM-ekbe kellene behelyezni \u0151ket, a p\u00e9nz k\u00fcld\u00e9s\u00e9hez el\u00e9g egy NFC-kompatibilis fizet\u00e9si eszk\u00f6z k\u00f6zel\u00e9be tartani a k\u00e1rty\u00e1t.<\/p>\n\n\n\n
Az ESET kiberbiztons\u00e1gi szak\u00e9rt\u0151i m\u00e9g soha nem tal\u00e1lkoztak kor\u00e1bban ilyen t\u00edpus\u00fa NFC \u00e1tviteli technik\u00e1val. A m\u00f3dszer egy NFCGate nev\u0171 eszk\u00f6z\u00f6n alapul, amelyet a n\u00e9metorsz\u00e1gi Darmstadti M\u0171szaki Egyetem hallgat\u00f3i fejlesztettek ki NFC forgalom r\u00f6gz\u00edt\u00e9s\u00e9re, elemz\u00e9s\u00e9re \u00e9s m\u00f3dos\u00edt\u00e1s\u00e1ra; ez\u00e9rt nevezt\u00e9k el az \u00faj malware-csal\u00e1dot felfedez\u0151 ESET kutat\u00f3k NGate-nek.<\/p>\n\n\n\n
Az \u00e1ldozatokat azzal vett\u00e9k r\u00e1 a rosszindulat\u00fa program telep\u00edt\u00e9s\u00e9re, hogy elhitett\u00e9k vel\u00fck, hogy a bankjukkal kommunik\u00e1lnak arr\u00f3l, hogy az eszk\u00f6z\u00fcket \u00e1ll\u00edt\u00f3lag felt\u00f6rt\u00e9k. Val\u00f3j\u00e1ban azonban maguk a felhaszn\u00e1l\u00f3k fert\u0151zt\u00e9k meg az Android-eszk\u00f6zeiket azzal, hogy el\u0151z\u0151leg telep\u00edtettek egy alkalmaz\u00e1st a csal\u00f3kt\u00f3l \u00e9rkezett linkr\u0151l, amit egy ad\u00f3visszat\u00e9r\u00edt\u00e9sr\u0151l sz\u00f3l\u00f3 SMS-ben k\u00fcldtek ki. Fontos megjegyezni, hogy az NGate soha nem volt el\u00e9rhet\u0151 a hivatalos Google Play \u00e1ruh\u00e1zban.<\/p>\n\n\n\n
Az NGate Android k\u00e1rtev\u0151 egy 2023 novembere \u00f3ta Csehorsz\u00e1gban akt\u00edv t\u00e1mad\u00f3 adathal\u00e1sz tev\u00e9kenys\u00e9g\u00e9hez kapcsol\u00f3dik. Az ESET kiberbiztons\u00e1gi szak\u00e9rt\u0151i ugyanakkor \u00fagy v\u00e9lik, hogy ezeket a tev\u00e9kenys\u00e9geket egy 2024 m\u00e1rcius\u00e1ban t\u00f6rt\u00e9nt letart\u00f3ztat\u00e1s ut\u00e1n felf\u00fcggesztett\u00e9k. Az ESET kutat\u00f3csapata el\u0151sz\u00f6r 2023. november v\u00e9g\u00e9n \u00e9szlelte a fenyeget\u00e9st, amely vezet\u0151 cseh bankok \u00fcgyfeleit vette c\u00e9lba. A rosszindulat\u00fa programokat r\u00f6vid ideig m\u0171k\u00f6d\u0151 domaineken kereszt\u00fcl terjesztett\u00e9k, amelyek hiteles banki weboldalakat vagy a Google Play \u00e1ruh\u00e1zban el\u00e9rhet\u0151 hivatalos mobilbanki alkalmaz\u00e1sokat imit\u00e1ltak. Ezeket a hamis domaineket az ESET Brand Intelligence Service azonos\u00edtotta, \u00e9s jelezte az \u00fcgyfelei fel\u00e9.<\/p>\n\n\n\n
Az elk\u00f6vet\u0151k a progressz\u00edv webalkalmaz\u00e1sok (PWA-k) lehet\u0151s\u00e9geit haszn\u00e1lt\u00e1k ki, majd k\u00e9s\u0151bb tov\u00e1bbfejlesztett\u00e9k strat\u00e9gi\u00e1jukat azzal, hogy a PWA-k egy kifinomultabb, WebAPK-k\u00e9nt ismert verzi\u00f3j\u00e1t haszn\u00e1lt\u00e1k. A m\u0171velet v\u00e9g\u00fcl az NGate malware alkalmaz\u00e1s\u00e1val cs\u00facsosodott ki.<\/p>\n\n\n\n
2024 m\u00e1rcius\u00e1ban az ESET kutat\u00f3i felfedezt\u00e9k, hogy az NGate Android malware ugyanazokon az oldalakon v\u00e1lt el\u00e9rhet\u0151v\u00e9, amelyeket kor\u00e1bban adathal\u00e1sz kamp\u00e1nyok sor\u00e1n haszn\u00e1ltak rosszindulat\u00fa PWA-k \u00e9s WebAPK-k terjeszt\u00e9s\u00e9re. Telep\u00edt\u00e9s ut\u00e1n az NGate egy hamis adathal\u00e1sz webhelyet jelen\u00edt meg, amely a felhaszn\u00e1l\u00f3 banki adatait k\u00e9ri, \u00e9s azokat a t\u00e1mad\u00f3 szerver\u00e9re k\u00fcldi.<\/p>\n\n\n\n
Az adathal\u00e1sz funkci\u00f3i mellett az NGate malware egy NFCGate nev\u0171 szoftvert is tartalmaz, amelyet arra haszn\u00e1lnak fel, hogy NFC adatokat tov\u00e1bb\u00edtson k\u00e9t eszk\u00f6z \u2013 az \u00e1ldozat \u00e9s az elk\u00f6vet\u0151 k\u00e9sz\u00fcl\u00e9ke \u2013 k\u00f6z\u00f6tt. Az NGate arra is felsz\u00f3l\u00edtja az \u00e1ldozatokat, hogy adj\u00e1k meg \u00e9rz\u00e9keny adataikat, p\u00e9ld\u00e1ul a banki \u00fcgyf\u00e9lazonos\u00edt\u00f3jukat, a sz\u00fclet\u00e9si d\u00e1tumukat \u00e9s a bankk\u00e1rty\u00e1juk PIN-k\u00f3dj\u00e1t, tov\u00e1bb\u00e1 arra k\u00e9ri \u0151ket, hogy kapcsolj\u00e1k be az NFC funkci\u00f3t okostelefonjukon. Ezt k\u00f6vet\u0151en az \u00e1ldozatoknak a bankk \u00e1rty\u00e1jukat az okostelefon h\u00e1tulj\u00e1hoz kell helyezni\u00fck, am\u00edg a k\u00e1rt\u00e9kony alkalmaz\u00e1s fel nem ismeri a k\u00e1rty\u00e1t.<\/p>\n\n\n\n
Az NGate malware \u00e1ltal haszn\u00e1lt technik\u00e1n k\u00edv\u00fcl a t\u00e1mad\u00f3, ha fizikai hozz\u00e1f\u00e9r\u00e9ssel rendelkezik a bankk\u00e1rty\u00e1khoz, potenci\u00e1lisan lem\u00e1solhatja azokat. Ezt a technik\u00e1t olyan elk\u00f6vet\u0151 alkalmazhatja, aki a k\u00e1rty\u00e1kat \u0151rizetlen\u00fcl hagyott t\u00e1sk\u00e1kon, p\u00e9nzt\u00e1rc\u00e1kon, h\u00e1tizs\u00e1kokon vagy bankk\u00e1rty\u00e1k t\u00e1rol\u00e1s\u00e1ra alkalmas okostelefon-tokokon kereszt\u00fcl pr\u00f3b\u00e1lja meg illet\u00e9ktelen\u00fcl leolvasni, p\u00e9ld\u00e1ul nyilv\u00e1nos \u00e9s zs\u00fafolt helyeken. Azonban ez a forgat\u00f3k\u00f6nyv \u00e1ltal\u00e1ban csak kis \u00f6sszeg\u0171 \u00e9rint\u00e9s n\u00e9lk\u00fcli fizet\u00e9sekre korl\u00e1toz\u00f3dik a termin\u00e1lokon.<\/p>\n\n\n\n
\u201eEg\u00e9szen meglep\u0151 \u00e9s \u00fajszer\u0171 volt ez a m\u00f3dszer. Az ilyen \u00f6sszetett t\u00e1mad\u00e1sok elleni v\u00e9dekez\u00e9shez mindenkinek ismernie kell, hogyan l\u00e9phet fel hat\u00e9konyan az adathal\u00e1szat, a social engineering \u00e9s az Android malware taktik\u00e1k ellen. Ez mag\u00e1ban foglalja, hogy naprak\u00e9sz v\u00e9delmi megold\u00e1st futtassunk az okostelefonunkon, mindig ellen\u0151rizz\u00fck a webhelyek URL c\u00edmeit, csak a hivatalos \u00e1ruh\u00e1zakb\u00f3l t\u00f6lts\u00fcnk le alkalmaz\u00e1sokat, soha ne adjuk ki a PIN-k\u00f3djainkat, kapcsoljuk ki az NFC funkci\u00f3t, amikor nincs r\u00e1 sz\u00fcks\u00e9g\u00fcnk, illetve v\u00e9d\u0151tokokat vagy hiteles\u00edt\u00e9ssel v\u00e9dett virtu\u00e1lis k\u00e1rty\u00e1kat haszn\u00e1ljunk\u201d \u2013 tan\u00e1csolja Csizmazia-Darab Istv\u00e1n, az ESET term\u00e9keit forgalmaz\u00f3 Sicontact Kft. kiberbiztons\u00e1gi szak\u00e9rt\u0151je, a Hackfelmetsz\u0151k \u2013 Veled is megt\u00f6rt\u00e9nhet kiberbiztons\u00e1gi podcast \u00e1lland\u00f3 szerepl\u0151je.<\/p>\n\n\n\n