ESET araştırmacıları üç Çek bankasının müşterilerini hedef alan bir suç yazılımı kampanyası keşfetti. Saldırganlar sosyal mühendislik, kimlik avı ve Android kötü amaçlı yazılımları gibi teknikleri yeni bir saldırı senaryosunda birleştirdi. ESET, Çek Cumhuriyeti’ndeki rastgele telefon müşterilerine Çek bankalarının kimliğine bürünen mesajların gönderildiğini ve bu eylem sonucunda üç bankanın müşterilerinin ağlarına yakalandığını düşünüyor. Saldırganlar, kurbanların fiziksel ödeme kartlarından NFC verilerini kopyalayıp saldırganın cihazına aktararak, orijinal kartı taklit edip ATM’den para çekmeyi başardı. ESET’in NGate olarak adlandırdığı kötü amaçlı yazılım, kurbanların ödeme kartlarından verileri, Android cihazlara yüklenen kötü amaçlı bir uygulama aracılığıyla saldırganın rootlu Android telefonuna aktarma konusunda benzersiz bir yeteneğe sahip. Suç kampanyasının temel amacı mağdurların banka hesaplarından yetkisiz ATM para çekme işlemlerini kolaylaştırmaktır. Bu yasa dışı işlem, kurbanların fiziksel ödeme kartlarındaki NFC (Yakın Alan İletişimi) verilerinin, Android NGate kötü amaçlı yazılımını kullanarak ele geçirilen Android akıllı telefon aracılığıyla saldırganın cihazına aktarılmasıyla gerçekleştirildi. Saldırgan daha sonra bu verileri ATM işlemlerini gerçekleştirmek için kullandı. Bu yöntemin başarısız olması durumunda saldırganın, kurbanların hesaplarından diğer banka hesaplarına para aktarmak üzere bir yedek planı olduğu belirlendi. Yeni tehdidi ve tekniği keşfeden Lukáš Štefanko“Daha önce keşfedilen hiçbir Android kötü amaçlı yazılımında bu yeni NFC iletim tekniğine rastlamadık. Bu teknik, Almanya’daki Darmstadt Teknik Üniversitesi öğrencileri tarafından NFC trafiğini yakalamak, analiz etmek veya değiştirmek için tasarlanan NFCGate adlı bir araca dayanıyor, dolayısıyla bu yeni. Kötü amaçlı yazılım “Ailesine NGate adını verdik” dedi. Kurbanlar, bankalarıyla iletişime geçtiklerine ve cihazlarının güvenliğinin ihlal edildiğine inandırıldıktan sonra kötü amaçlı yazılımı indirip yüklediler. Mağdurlar, Android cihazlarını bilmeden bir uygulama indirip yükleyerek tehlikeye attılar. potansiyel bir vergi iadesiyle ilgili yanıltıcı bir SMS mesajında bulunan bir bağlantı.
NGate hiçbir zaman resmi Google Play Store’a dahil edilmediAndroid NGate kötü amaçlı yazılımı, Kasım 2023’ten bu yana Çek Cumhuriyeti’nde faaliyet gösteren bir tehdit aktörünün phishing faaliyetleriyle bağlantılı. Ancak ESET, bu faaliyetlerin Mart 2024’te bir şüphelinin tutuklanmasının ardından askıya alındığına inanıyor. Tehdit aktörünün müşterileri hedef aldığını ilk kez ESET Araştırma fark etti. Kötü amaçlı yazılım, meşru bankacılık web sitelerini veya Google Play Store’daki mevcut resmi mobil bankacılık uygulamalarını taklit eden kısa ömürlü alanlar aracılığıyla dağıtıldı. Bu sahte alanlar, müşterinin markasını hedef alan tehditlerin izlenmesini sağlayan ESET Marka İstihbaratı Hizmeti aracılığıyla tespit edildi. Aynı ayda ESET, bulgularını müşterilerine bildirdi. ESET’in önceki bir gönderide bildirdiği gibi, saldırganlar aşamalı web uygulamalarının (PWA’lar) potansiyelinden yararlandı ancak daha sonra PWA’ların WebAPK olarak bilinen daha karmaşık bir sürümünü kullanarak stratejilerini geliştirdiler. Sonuçta operasyon, NGate kötü amaçlı yazılımının dağıtımına yol açtı. Mart 2024’te ESET Araştırması, Android NGate kötü amaçlı yazılımının, daha önce kötü amaçlı PWA’lar ve WebAPK’ler sağlayan kimlik avı kampanyalarını kolaylaştırmak için kullanılan dağıtım etki alanlarında kullanıma sunulduğunu keşfetti. NGate, kurulup açıldığında, kullanıcının banka bilgilerini talep eden ve daha sonra saldırganın sunucusuna gönderilen sahte bir web sitesi görüntüler. Kimlik avı yeteneklerine ek olarak, NGate kötü amaçlı yazılımı, NFC verilerini iki cihaz (kurbanın cihazı ve failin cihazı) arasında aktarmak için kullanılabilecek NFCGate adı verilen bir araçla birlikte gelir. Bu özelliklerden bazıları yalnızca root erişimli cihazlarda çalışır, ancak bu durumda NFC trafiğini root erişimli olmayan cihazlardan bile aktarmak mümkündür. NGate ayrıca kurbanlarından banka müşteri kimliği, doğum tarihi ve banka kartı PIN kodu gibi hassas bilgileri girmelerini istiyor. Ayrıca kurbanlardan akıllı telefonlarındaki NFC işlevini etkinleştirmeleri ve ardından kötü amaçlı uygulama kartı tanıyana kadar ödeme kartlarını akıllı telefonun arkasına yerleştirmeleri isteniyor. NGate kötü amaçlı yazılımının kullandığı tekniğe ek olarak, ödeme kartlarına fiziksel erişimi olan bir saldırgan, bunları kopyalayıp taklit etme potansiyeline sahiptir. Bu teknik, özellikle halka açık ve kalabalık yerlerde, kartları içeren çantalar, cüzdanlar, sırt çantaları veya akıllı telefon kılıfları aracılığıyla kartları okumaya çalışan bir saldırgan tarafından kullanılabilir. Ancak bu senaryo genellikle terminallerde küçük temassız ödemelerin yapılmasıyla sınırlıdır. Lukáš Štefanko şu önerilerde bulundu; “Kendinizi bu tür karmaşık saldırılardan korumak için kimlik avı, sosyal mühendislik ve Android kötü amaçlı yazılımları gibi taktiklere karşı bazı proaktif önlemler almanız gerekiyor. Buna web sitesi URL’lerini kontrol etmek, resmi mağazalardan uygulama indirmek, PIN kodlarını saklamak ve akıllı telefonlarda güvenlik uygulamaları kullanmak da dahil. “Kullanmak, ihtiyaç duyulmadığında NFC fonksiyonunun kapatılması, koruyucu kılıfların kullanılması veya kimlik doğrulama ile korunan sanal kartların kullanılması anlamına gelir Kaynak: (guzelhaber.net) Güzel Haber Masası.”
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–