Malware Android yang baru ditemukan mencuri data kartu pembayaran menggunakan pembaca NFC perangkat yang terinfeksi dan meneruskannya ke penyerang, teknik baru yang secara efektif mengkloning kartu sehingga dapat digunakan di ATM atau terminal point-of-sale, kata firma keamanan ESET.
Para peneliti ESET telah memberi nama malware NGate karena malware ini menggabungkan Gerbang NFCalat sumber terbuka untuk menangkap, menganalisis, atau mengubah lalu lintas NFC. Singkatan dari Komunikasi Jarak DekatNFC adalah protokol yang memungkinkan dua perangkat berkomunikasi secara nirkabel dalam jarak pendek.
Skenario serangan Android baru
“Ini adalah skenario serangan Android baru, dan ini adalah pertama kalinya kami melihat malware Android dengan kemampuan ini digunakan secara liar,” kata peneliti ESET Lukas Stefanko dalam sebuah pernyataan. rekaman video mendemonstrasikan penemuan tersebut. “Malware NGate dapat meneruskan data NFC dari kartu korban melalui perangkat yang disusupi ke telepon pintar penyerang, yang kemudian dapat meniru kartu tersebut dan menarik uang dari ATM.”
Lukas Stefanko—Membuka kedok NGate.
Malware tersebut dipasang melalui skenario phishing tradisional, seperti penyerang mengirim pesan ke target dan mengelabui mereka agar memasang NGate dari domain jangka pendek yang menyamar sebagai bank atau aplikasi perbankan seluler resmi yang tersedia di Google Play. Dengan menyamar sebagai aplikasi sah untuk bank target, NGate meminta pengguna untuk memasukkan ID klien perbankan, tanggal lahir, dan kode PIN yang sesuai dengan kartu. Aplikasi tersebut selanjutnya meminta pengguna untuk mengaktifkan NFC dan memindai kartu.
ESET mengatakan bahwa mereka menemukan NGate digunakan terhadap tiga bank Ceko mulai bulan November dan mengidentifikasi enam aplikasi NGate terpisah yang beredar antara saat itu dan Maret tahun ini. Beberapa aplikasi yang digunakan pada bulan-bulan terakhir kampanye tersebut berbentuk PWA, kependekan dari Aplikasi Web Progresifyang sebagai dilaporkan pada hari Kamis dapat diinstal pada perangkat Android dan iOS bahkan ketika pengaturan (wajib pada iOS) mencegah penginstalan aplikasi yang tersedia dari sumber tidak resmi.
Alasan paling mungkin mengapa kampanye NGate berakhir pada bulan Maret, kata ESET, adalah menangkap oleh polisi Ceko terhadap seorang pria berusia 22 tahun yang katanya tertangkap mengenakan topeng saat menarik uang dari ATM di Praha. Penyidik mengatakan tersangka telah “menciptakan cara baru untuk menipu orang agar mengeluarkan uang” menggunakan skema yang kedengarannya identik dengan yang melibatkan NGate.
Stefanko dan rekan peneliti ESET Jakub Osmani menjelaskan cara kerja serangan tersebut:
Pengumuman oleh kepolisian Ceko mengungkap skenario serangan dimulai dengan penyerang mengirim pesan SMS kepada calon korban tentang pengembalian pajak, termasuk tautan ke situs web phishing yang menyamar sebagai bank. Tautan ini kemungkinan besar mengarah ke PWA jahat. Setelah korban memasang aplikasi dan memasukkan kredensial mereka, penyerang memperoleh akses ke akun korban. Kemudian penyerang menelepon korban, berpura-pura menjadi karyawan bank. Korban diberi tahu bahwa akun mereka telah dibobol, kemungkinan karena pesan teks sebelumnya. Penyerang sebenarnya mengatakan yang sebenarnya – akun korban telah dibobol, tetapi kebenaran ini kemudian mengarah pada kebohongan lain.
Untuk “melindungi” dana mereka, korban diminta untuk mengubah PIN dan memverifikasi kartu perbankan mereka menggunakan aplikasi seluler – malware NGate. Tautan untuk mengunduh NGate dikirim melalui SMS. Kami menduga bahwa di dalam aplikasi NGate, para korban akan memasukkan PIN lama mereka untuk membuat yang baru dan meletakkan kartu mereka di bagian belakang ponsel pintar mereka untuk memverifikasi atau menerapkan perubahan tersebut.
Karena penyerang sudah memiliki akses ke akun yang disusupi, mereka dapat mengubah batas penarikan. Jika metode relai NFC tidak berhasil, mereka cukup mentransfer dana ke akun lain. Namun, penggunaan NGate memudahkan penyerang untuk mengakses dana korban tanpa meninggalkan jejak ke rekening bank penyerang itu sendiri. Diagram urutan serangan ditunjukkan pada Gambar 6.
Para peneliti mengatakan NGate atau aplikasi yang serupa dapat digunakan dalam skenario lain, seperti mengkloning beberapa kartu pintar yang digunakan untuk tujuan lain. Serangan tersebut akan bekerja dengan menyalin ID unik dari tag NFC, yang disingkat UID.
“Selama pengujian, kami berhasil menyampaikan UID dari tag MIFARE Classic 1K, yang biasanya digunakan untuk tiket transportasi umum, lencana identitas, kartu anggota atau kartu pelajar, dan kasus penggunaan serupa,” tulis para peneliti. “Dengan menggunakan NFCGate, serangan penyampaian NFC dapat dilakukan untuk membaca token NFC di satu lokasi dan, secara real time, mengakses tempat di lokasi lain dengan meniru UID-nya, seperti yang ditunjukkan pada Gambar 7.”
Memperbesar/ Gambar 7. Ponsel pintar Android (kanan) yang membaca dan meneruskan UID token NFC eksternal ke perangkat lain (kiri).
ESET
Pengklonan tersebut dapat terjadi dalam situasi di mana penyerang memiliki akses fisik ke kartu atau dapat membaca kartu secara singkat di tas, dompet, ransel, atau casing ponsel pintar yang tidak dijaga. Untuk melakukan dan meniru serangan tersebut, penyerang harus memiliki perangkat Android yang telah di-root dan dikustomisasi. Ponsel yang terinfeksi NGate tidak memiliki persyaratan ini.
