Yeni Android Zararlı Yazılımı NGate, Temassız Ödeme Kartlarını Klonlamak için NFC Verilerini Çalıyor

26.08.2024

Siber güvenlik uzmanları, fiziksel kredi ve banka kartlarından temassız ödeme verilerini ele geçirmek ve dolandırıcılık amacıyla saldırganın kontrolündeki bir cihaza aktarmak üzere tasarlanmış NGate adlı yeni bir Android zararlı yazılımı keşfetti.

Slovak bir siber güvenlik firması tarafından izlenen bu zararlı yazılım, Çekya'daki üç bankayı hedef alan bir kampanyada tespit edildi. Araştırmacılar Lukáš Štefanko ve Jakub Osmani, NGate'in "kurbanların Android cihazlarına yüklenen kötü niyetli bir uygulama aracılığıyla ödeme kartı verilerini, saldırganın root edilmiş Android telefonuna iletme yeteneğine sahip olduğunu" açıkladılar.

Çekya'daki finansal kurumları hedef alan bu zararlı yazılım kampanyası, Kasım 2023'te başlamış olup, zararlı ilerleyici web uygulamaları (PWA'lar) ve WebAPK'lar kullanmaktadır. NGate'in ilk bilinen dağıtımı Mart 2024'te gözlemlenmiştir.

Bu saldırıların ana amacı, kurbanların fiziksel ödeme kartlarından yakın alan iletişimi (NFC) verilerini klonlamak ve bu verileri saldırganın cihazına ileterek, ATM'lerden para çekmek için orijinal kartı taklit etmektir.

NGate, ilk olarak 2015 yılında TU Darmstadt'taki Güvenli Mobil Ağ Laboratuvarı'nda öğrenciler tarafından güvenlik araştırmaları amacıyla geliştirilen NFCGate adlı meşru bir araçtan türetilmiştir.

Saldırı stratejisinin, sosyal mühendislik taktikleri ve SMS oltalama yöntemlerinin bir kombinasyonunu kullanarak kullanıcıları NGate'i yüklemeleri için aldatmaya yönelik olduğu düşünülmektedir. Bu, kullanıcıları kısa ömürlü, meşru bankacılık portallarını veya Google Play mağazasında mevcut gibi görünen resmi mobil bankacılık uygulamalarını taklit eden web sitelerine yönlendirerek gerçekleştirilir.

Bugüne kadar, Kasım 2023 ile Mart 2024 arasında kullanılan altı farklı NGate versiyonu tespit edilmiştir. Kampanya, muhtemelen ATM'lerden para çalmakla bağlantılı olarak 22 yaşındaki birinin Çek yetkililer tarafından tutuklanmasının ardından sona ermiştir.

NFC trafiğini yakalayıp başka bir cihaza iletmek için NFCGate'in işlevselliğini kullanmanın ötesinde, NGate ayrıca kullanıcıları, bankacılık müşteri kimlikleri, doğum tarihleri ve banka kartlarının PIN kodları gibi hassas bilgileri girmeye zorlar. Bu oltalama bilgileri, WebView içinde görüntülenen bir sayfa aracılığıyla toplanır.

"Araştırmacılar, "zararlı yazılım, kullanıcıların akıllı telefonlarındaki NFC özelliğini etkinleştirmelerini istiyor" dedi. "Daha sonra, kurbanlardan ödeme kartlarını akıllı telefonlarının arkasına yerleştirmeleri istenir ve bu, uygulama kartı okuyana kadar devam eder."

Saldırı, kurbanlar PWA veya WebAPK uygulamasını SMS bağlantıları aracılığıyla yükledikten sonra daha da aldatıcı hale gelir. Kurbanlar daha sonra bankadan bir temsilci gibi davranan saldırgan tarafından aranır ve uygulamanın yüklenmesi nedeniyle banka hesaplarının tehlikede olduğu iddia edilir.

Kurbanlara daha sonra PIN kodlarını değiştirmeleri ve banka kartlarını farklı bir mobil uygulama (NGate) kullanarak doğrulamaları talimatı verilir; bunun için bir yükleme bağlantısı da SMS ile gönderilir. Bu uygulamaların Google Play Store üzerinden dağıtıldığına dair bir kanıt bulunmamaktadır.

Araştırmacılar, "NGate, operasyonlarını kolaylaştırmak için iki farklı sunucu kullanıyor" dedi. "İlki, kurbanları hassas bilgileri vermeye ikna etmek ve bir NFC aktarım saldırısı başlatabilen bir oltalama web sitesidir. İkincisi ise, NFC trafiğini kurbanın cihazından saldırganınkine yönlendirmek için kullanılan bir NFCGate aktarım sunucusudur."

Bu açıklama, Zscaler ThreatLabz'in, kurbanları banka bilgilerini girmeye teşvik eden sesli oltalama (vishing) saldırıları yoluyla yayılan bilinen bir Android bankacılık truva atı olan Copybara'nın yeni bir varyantı hakkında detay verdiği bir raporla aynı zamana denk geliyor.

Ruchna Nigam, "Bu yeni Copybara varyantı Kasım 2023'ten beri aktif olup, komuta ve kontrol (C2) sunucusuyla iletişim kurmak için MQTT protokolünü kullanıyor" dedi.

"Zararlı yazılım, Android cihazlara özgü erişilebilirlik hizmetlerini kötüye kullanarak, enfekte olmuş cihaz üzerinde ayrıntılı kontrol sağlıyor. Ayrıca, popüler kripto para borsalarını ve finansal kurumları taklit eden, onların logolarını ve uygulama isimlerini kullanan oltalama sayfalarını da indiriyor."