Κινέζοι φορείς απειλών έχουν ξεκινήσει μια εξελιγμένη καμπάνια χρησιμοποιώντας κακόβουλο λογισμικό Android με δυνατότητα NFC που ονομάζεται Ghost Tap για να υποκλέψει και να κλέψει οικονομικές πληροφορίες από θύματα σε όλο τον κόσμο.
Το κακόβουλο λογισμικό λειτουργεί μέσω ενός παραπλανητικού μοντέλου διανομής, όπου οι εισβολείς εξαπατούν τους χρήστες να κατεβάσουν φαινομενικά νόμιμες εφαρμογές μέσω του Telegram και άλλων πλατφορμών ανταλλαγής μηνυμάτων.
Μόλις εγκατασταθεί, το Ghost Tap αξιοποιεί την τεχνολογία Near Field Communication για να διαβάζει τα δεδομένα της κάρτας πληρωμής όταν τα θύματα χτυπούν εν αγνοία τους τις κάρτες τους σε μολυσμένες συσκευές, καταγράφοντας σιωπηλά ευαίσθητες πληροφορίες χωρίς την επίγνωση του χρήστη.
Η αλυσίδα επίθεσης βασίζεται σε μεγάλο βαθμό σε τακτικές κοινωνικής μηχανικής για τη μεγιστοποίηση των ποσοστών μόλυνσης. Οι επιτιθέμενοι κατασκευάζουν πειστικά θέλγητρα μεταμφιεσμένα σε δημοφιλείς εφαρμογές, λογισμικό παιχνιδιών ή βοηθητικά εργαλεία για να μειώσουν την προστασία των χρηστών και να ενθαρρύνουν τις λήψεις.
Στη συνέχεια, το κακόβουλο λογισμικό ζητά άδεια πρόσβασης στη λειτουργικότητα NFC, την οποία οι περισσότεροι χρήστες χορηγούν χωρίς να κατανοούν τις επιπτώσεις στην ασφάλεια.
Μόλις ενεργοποιηθεί, το Ghost Tap λειτουργεί στο παρασκήνιο, παρακολουθώντας συνεχώς τις αλληλεπιδράσεις της κάρτας NFC και μεταδίδοντας κλεμμένα δεδομένα μέσω απομακρυσμένων διακομιστών που ελέγχονται από τους παράγοντες απειλών.
Ερευνητές Group-IB Threat Intelligence αναγνωρισθείς η καμπάνια μετά την παρακολούθηση πάνω από 54 μοναδικών δειγμάτων Ghost Tap που κυκλοφορούν σε πολλά κανάλια διανομής.
Οι ερευνητές παρατήρησαν ότι πολλές παραλλαγές υποδύονται νόμιμες εφαρμογές από γνωστές εταιρείες, καθιστώντας την ανίχνευση πιο δύσκολη για τους μέσους χρήστες.
Η ανάλυσή τους αποκάλυψε ότι οι απατεώνες χρησιμοποιούν τα δεδομένα υποκλοπής πληρωμών για τη διεξαγωγή μη εξουσιοδοτημένων συναλλαγών μέσω παράνομων τερματικών σημείων πώλησης, με τα θύματα να αναφέρουν οικονομικές απώλειες σε πολλές χώρες.
Μηχανισμός επιμονής
Ο μηχανισμός επιμονής του κακόβουλου λογισμικού αντιπροσωπεύει μια ιδιαίτερα ανησυχητική τεχνική πτυχή αυτής της απειλής. Το Ghost Tap χρησιμοποιεί προηγμένες τεχνικές φοροδιαφυγής για να διατηρήσει την παρουσία του σε μολυσμένες συσκευές ακόμα και όταν οι χρήστες επιχειρήσουν να απεγκαταστήσουν εφαρμογές.
Το κακόβουλο λογισμικό εγγράφεται ως υπηρεσία συστήματος και αγκιστρώνεται στο πλαίσιο NFC του Android σε βαθύ επίπεδο, επιτρέποντάς του να λειτουργεί ανεξάρτητα από τη μητρική εφαρμογή.
.webp.jpeg "Κινέζοι χάκερ αναπτύσσουν κακόβουλο λογισμικό Android με δυνατότητα NFC για την κλοπή δεδομένων πληρωμών")
Όταν ένας χρήστης επιχειρεί τη διαγραφή, το Ghost Tap επανεγκαθίσταται αυτόματα αξιοποιώντας διακυβευμένες διαδικασίες συστήματος, καθιστώντας την αφαίρεση εξαιρετικά δύσκολη χωρίς τεχνική εξειδίκευση ή εξειδικευμένα εργαλεία ασφαλείας.
Οι ερευνητές ασφαλείας συνιστούν στους χρήστες να είναι ιδιαίτερα προσεκτικοί κατά την εγκατάσταση εφαρμογών από μη αξιόπιστες πηγές και να επαληθεύουν την αυθεντικότητα της εφαρμογής μόνο μέσω επίσημων καταστημάτων εφαρμογών.
Η απενεργοποίηση της λειτουργίας NFC όταν δεν χρησιμοποιείται παρέχει πρόσθετη προστασία από αυτές τις επιθέσεις.
Οι οργανισμοί θα πρέπει να εφαρμόζουν λύσεις διαχείρισης φορητών συσκευών για την παρακολούθηση και τον αποκλεισμό ύποπτων εφαρμογών, ενώ οι χρήστες πρέπει να παραμείνουν σε επαγρύπνηση σχετικά με τη χορήγηση αδειών σε εγκατεστημένο λογισμικό.
