تستخدم البرامج الضارة التي تعمل بنظام Android تقنية لم يسبق لها مثيل لسرقة بيانات بطاقة الدفع

تستخدم البرامج الضارة التي تم اكتشافها حديثًا لنظام Android قارئ NFC الخاص بالجهاز المصاب لسرقة بيانات بطاقة الدفع ونقلها إلى المهاجمين، وهي تقنية مبتكرة تستنسخ بشكل فعال البطاقة التي يمكن استخدامها في أجهزة الصراف الآلي أو محطات نقاط البيع، وفقًا لشركة الأمن ESET.

أطلق باحثو ESET على البرنامج الضار اسم NGate لأنه يحتوي على برمجيات خبيثة بوابة NFCأداة مفتوحة المصدر لالتقاط حركة مرور NFC أو تحليلها أو تحويلها. اختصار ل التواصل قريب المدىNFC هو بروتوكول يسمح لجهازين بالاتصال لاسلكيًا عبر مسافة قصيرة.

سيناريو الهجوم الجديد على أندرويد

وقال لوكاس ستيفانكو، الباحث في شركة ESET، في بيان: “هذا سيناريو هجوم جديد على Android، وهذه هي المرة الأولى التي نرى فيها برامج ضارة لنظام Android تتمتع بهذه الإمكانية منتشرة على نطاق واسع”. فيديو إثبات الاكتشاف. “يمكن للبرامج الضارة NGate نقل بيانات NFC من بطاقة الضحية من خلال جهاز مخترق إلى الهاتف الذكي للمهاجم، والذي يمكنه بعد ذلك متابعة البطاقة لسحب النقود من ماكينة الصراف الآلي.”

يتم تثبيت البرامج الضارة من خلال سيناريوهات التصيد الاحتيالي التقليدية، مثل إرسال رسائل للمهاجمين وخداعهم لتثبيت NGate من نطاقات قصيرة العمر تنتحل صفة البنوك أو تطبيقات الخدمات المصرفية الرسمية عبر الهاتف المحمول المتوفرة على Google Play. متنكرًا في شكل تطبيق شرعي للبنك المستهدف، يطالب NGate المستخدم بإدخال معرف عميل البنك وتاريخ الميلاد والرمز السري المرتبط بالبطاقة. يطلب التطبيق من المستخدم تمكين NFC ومسح البطاقة ضوئيًا.

قالت شركة ESET إنها اكتشفت استخدام NGate ضد ثلاثة بنوك تشيكية بدءًا من نوفمبر، وحددت ستة تطبيقات NGate منفصلة متداولة من هذا العام إلى مارس. بعض التطبيقات المستخدمة لاحقًا في الحملة جاءت في شكل تطبيقات PWA، باختصار تطبيقات الويب التقدميةوبحسب تقرير الخميس، يمكن تثبيت الإعدادات (الإلزامية على نظام iOS) على أجهزة Android وiOS حتى مع منع تثبيت التطبيقات من مصادر غير رسمية.

وقالت شركة ESET إن هذا يرجع إلى حد كبير إلى انتهاء حملة NGate في مارس اعتقال وقالت الشرطة التشيكية إنه تم القبض على الشاب البالغ من العمر 22 عامًا وهو يرتدي قناعًا أثناء سحب الأموال من أجهزة الصراف الآلي في براغ. وقال المحققون إن المشتبه به “ابتكر طريقة جديدة للاحتيال على الناس” باستخدام مخطط مماثل لتلك التي تنطوي على NGate.

وأوضح ستيفانكو وزميله الباحث في شركة ESET، جاكوب عثماني، كيفية عمل الهجوم:

وكشف بيان للشرطة التشيكية أن المهاجمين في سيناريو الهجوم أرسلوا للضحايا رسائل نصية قصيرة حول الإقرارات الضريبية، والتي تضمنت رابطًا لموقع ويب للتصيد الاحتيالي ينتحل صفة البنوك. غالبًا ما تؤدي هذه الروابط إلى تطبيقات PWA ضارة. بمجرد قيام الضحية بتثبيت التطبيق وإدخال بيانات الاعتماد الخاصة به، تمكن المهاجم من الوصول إلى حساب الضحية. ثم تظاهر المعتدي بأنه موظف في البنك واتصل بالضحية. وبسبب الرسالة النصية السابقة، تم إبلاغ الضحية بأن حسابه قد تم اختراقه. لقد قال المهاجم الحقيقة بالفعل، فقد تم اختراق حساب الضحية، لكن هذه الحقيقة أدت إلى كذبة أخرى.

ومن أجل “حماية” أموالهم، طُلب من الضحية تغيير رقم التعريف الشخصي الخاص به والتحقق من بطاقته المصرفية باستخدام تطبيق الهاتف المحمول NGate الضار. تم إرسال رابط لتحميل NGate عبر الرسائل القصيرة. ونعتقد أنه داخل تطبيق NGate، سيقوم الضحايا ببساطة بإدخال رقم التعريف الشخصي القديم الخاص بهم، وإنشاء رقم جديد، ووضع بطاقتهم على الجزء الخلفي من الهاتف الذكي للتحقق من التغيير أو تطبيقه.

نظرًا لأن المهاجم لديه بالفعل حق الوصول إلى الحساب المخترق، فيمكنه تغيير حدود السحب. إذا لم تنجح طريقة ترحيل NFC، فيمكنهم تحويل الأموال إلى حساب آخر. ومع ذلك، فإن استخدام NGate يسهل على المهاجم الوصول إلى أموال الضحية دون ترك آثار في حسابه المصرفي. يظهر رسم تخطيطي لتسلسل الهجوم في الشكل 6.

وقال الباحثون إن تطبيق NGate أو تطبيقات مماثلة يمكن استخدامها في مواقف أخرى، مثل استنساخ بعض البطاقات الذكية المستخدمة لأغراض أخرى. يعمل الهجوم عن طريق نسخ المعرف الفريد لعلامة NFC، والمختصر بـ UID.

وكتب الباحثون: “خلال اختباراتنا، نجحنا في نقل UID من علامة MIFARE Classic 1K، والتي تُستخدم عادةً لتذاكر النقل العام، وشارات الهوية، وبطاقات العضوية أو بطاقات الطلاب، وحالات الاستخدام المماثلة”. “باستخدام NFCGate، يمكن تنفيذ هجوم ترحيل NFC لقراءة رمز NFC في موقع واحد والوصول إلى المبنى في موقع آخر، في الوقت الفعلي، من خلال اتباع UID الخاص به، كما هو موضح في الشكل 7.”

يمكن أن يحدث الاستنساخ في المواقف التي يكون فيها للمهاجم إمكانية الوصول الفعلي إلى البطاقة أو يمكنه قراءة البطاقة لفترة وجيزة في المحافظ أو المحافظ أو حقائب الظهر أو حافظات الهواتف الذكية التي تحتوي على البطاقات. لتنفيذ مثل هذه الهجمات ومتابعتها، يجب أن يكون لدى المهاجم جهاز Android مُخصص ومتجذر. الهواتف المتأثرة بـ NGate ليس لديها هذا المطلب.