Το κακόβουλο λογισμικό αναμετάδοσης Near-Field Communication (NFC) έχει γίνει μαζικά δημοφιλές στην Ανατολική Ευρώπη, με τους ερευνητές να ανακαλύπτουν περισσότερες από 760 κακόβουλες εφαρμογές Android που χρησιμοποιούν την τεχνική για να κλέβουν τις πληροφορίες της κάρτας πληρωμής των χρηστών τους τελευταίους μήνες.
Σε αντίθεση με τα παραδοσιακά τραπεζικά trojans που χρησιμοποιούν επικαλύψεις για την κλοπή τραπεζικών διαπιστευτηρίων ή εργαλεία απομακρυσμένης πρόσβασης για την εκτέλεση δόλιων συναλλαγών, το κακόβουλο λογισμικό NFC καταχράται την Εξομοίωση κάρτας κεντρικού υπολογιστή του Android (HCE) για να μιμηθεί ή να κλέψει ανεπαφικά δεδομένα πιστωτικών καρτών και πληρωμών.
Καταγράφουν πεδία EMV, ανταποκρίνονται σε εντολές APDU από ένα τερματικό POS με απαντήσεις που ελέγχονται από τον εισβολέα ή προωθούν αιτήματα τερματικού σε έναν απομακρυσμένο διακομιστή, ο οποίος δημιουργεί τις κατάλληλες αποκρίσεις APDU για να επιτρέπει τις πληρωμές στο τερματικό χωρίς την παρουσία του φυσικού κατόχου της κάρτας.
Η τεχνική εντοπίστηκε στη φύση για πρώτη φορά το 2023 στην Πολωνία, ακολούθησαν εκστρατείες στην Τσεχική Δημοκρατία και αργότερα, πιο μαζικές Κύματα επίθεσης στη Ρωσία.
Με την πάροδο του χρόνου, πολλαπλές παραλλαγές εμφανίστηκαν ακολουθώντας διαφορετικές πρακτικές προσεγγίσεις, όπως:
- Συλλογή δεδομένων που διοχετεύουν πεδία EMV στο Telegram ή σε άλλα τελικά σημεία,
- Κιτ εργαλείων αναμετάδοσης που προωθούν APDU σε απομακρυσμένες συζευγμένες συσκευές,
- Πληρωμές “Ghost-tap” όπου οι απαντήσεις HCE χειραγωγούνται για να εξουσιοδοτηθούν οι συναλλαγές POS σε πραγματικό χρόνο,
- και PWA ή ψεύτικες εφαρμογές τραπεζών που έχουν εγγραφεί ως ο προεπιλεγμένος χειριστής πληρωμών στο Android.
Σύμφωνα με την εταιρεία ασφάλειας κινητής τηλεφωνίας Zimperium, μέλος της «App Defense Alliance» της Google, η δημοτικότητα του κακόβουλου λογισμικού NFC στο Android έχει εκτιναχθεί τον τελευταίο καιρό, ιδιαίτερα στην Ανατολική Ευρώπη.
«Αυτό που ξεκίνησε με λίγα μεμονωμένα δείγματα έχει πλέον επεκταθεί σε περισσότερες από 760 κακόβουλες εφαρμογές που παρατηρούνται στη φύση – αποδεικνύοντας ότι η κατάχρηση του ρελέ NFC δεν επιβραδύνεται αλλά συνεχίζει να επιταχύνεται». εξηγεί το Zimperium.
“Οι καμπάνιες που είχαν τεκμηριωθεί στο παρελθόν από άλλους προμηθευτές διευρύνουν τώρα την εμβέλειά τους σε επιπλέον περιοχές, όπως η Ρωσία, η Πολωνία, η Τσεχική Δημοκρατία, η Σλοβακία και άλλες.”
Πηγή: Zimperium
Η εταιρεία έχει εντοπίσει περισσότερους από 70 διακομιστές εντολών και ελέγχου (C2) και κόμβους διανομής εφαρμογών που υποστηρίζουν αυτές τις καμπάνιες, καθώς και δεκάδες ρομπότ Telegram και ιδιωτικά κανάλια που χρησιμοποιούνται για την εξαγωγή κλεμμένων δεδομένων ή τον συντονισμό λειτουργιών.
Οι εφαρμογές που χρησιμοποιούνται για τη διανομή του κακόβουλου λογισμικού υποδύονται το Google Pay ή χρηματοπιστωτικά ιδρύματα όπως η Santander Bank, η VTB Bank, η Tinkoff Bank, η ING Bank, η Bradesco Bank, η Promsvyazbank (PSB) και πολλά άλλα.
Πηγή: Zimperium
Συνιστάται στους χρήστες Android να μην εγκαθιστούν ποτέ APK εκτός του Google Play, εκτός εάν εμπιστεύονται ρητά τον εκδότη, εγκαθιστούν τραπεζικές εφαρμογές μόνο από τους επίσημους συνδέσμους της τράπεζας και ελέγχουν για ύποπτες άδειες, όπως πρόσβαση στο NFC ή προνόμια υπηρεσίας στο προσκήνιο.
Επιπλέον, συνιστάται να σαρώνετε τακτικά τη συσκευή σας με το Play Protect, το ενσωματωμένο εργαλείο κατά του κακόβουλου λογισμικού του Android, και να απενεργοποιείτε το NFC εάν δεν χρειάζεται.
Η πλήρης λίστα των APK Zimperium που ανακαλύφθηκαν στη φύση είναι διαθέσιμο εδώ.
Το 46% των περιβαλλόντων είχαν σπάσει κωδικούς πρόσβασης, σχεδόν διπλασιασμένος από 25% πέρυσι.
Λάβετε τώρα την Έκθεση Picus Blue 2025 για μια ολοκληρωμένη ματιά σε περισσότερα ευρήματα σχετικά με τις τάσεις πρόληψης, ανίχνευσης και διείσδυσης δεδομένων.
VIA: bleepingcomputer.com
