Μια εξελιγμένη εκστρατεία malware, που εκμεταλλεύεται την τεχνολογία Near Field Communication (NFC) σε συσκευές Android, έχει επεκταθεί δραματικά από την εμφάνισή της τον Απρίλιο του 2024.
Αυτό που ξεκίνησε ως μεμονωμένα περιστατικά έχει κλιμακωθεί σε μια ευρεία απειλή, με πάνω από 760 κακόβουλες εφαρμογές να κυκλοφορούν πλέον ελεύθερα. Αυτές οι κακόβουλες εφαρμογές εκμεταλλεύονται τις δυνατότητες NFC και Host Card Emulation για να καταγράψουν παράνομα δεδομένα πληρωμών και να διευκολύνουν δόλιες συναλλαγές.
Η εκστρατεία έχει διευρύνει το γεωγραφικό της αποτύπωμα πέρα από τους αρχικούς στόχους, επηρεάζοντας πλέον χρήστες στη Ρωσία, την Πολωνία, την Τσεχία, τη Σλοβακία και τη Βραζιλία.
Κατάχρηση NFC: Πώς λειτουργούν οι κακόβουλες εφαρμογές
Το κακόβουλο λογισμικό μιμείται νόμιμες εφαρμογές χρηματοπιστωτικών ιδρυμάτων, εξαπατώντας τους χρήστες.
Μόλις εγκατασταθούν, αυτές οι εφαρμογές ζητούν από τα θύματα να τις ορίσουν ως την προεπιλεγμένη μέθοδο πληρωμής NFC στις συσκευές τους. Το κακόβουλο λογισμικό, στη συνέχεια, υποκλέπτει σιωπηλά δεδομένα καρτών πληρωμής κατά τη διάρκεια συναλλαγών tap-to-pay. Ουσιαστικά, εξάγει ευαίσθητες πληροφορίες, όπως αριθμούς καρτών, ημερομηνίες λήξης και πεδία EMV και τα στέλνει σε κακόβουλους παράγοντες μέσω ιδιωτικών καναλιών Telegram.
Οι αναλυτές της Zimperium εντόπισαν μια εκτεταμένη υποδομή που υποστηρίζει αυτές τις επιχειρήσεις, αποκαλύπτοντας πάνω από 70 διακομιστές εντολών και ελέγχου, δεκάδες bots Telegram που χρησιμοποιούνται για συντονισμό και περίπου 20 πλαστογραφημένα ιδρύματα. Μεταξύ των στοχευμένων οντοτήτων είναι μεγάλες ρωσικές τράπεζες όπως οι VTB, Tinkoff και Promsvyazbank, καθώς και διεθνή ιδρύματα όπως οι Santander, Bradesco, PKO Bank Polski και κυβερνητικές πύλες, συμπεριλαμβανομένης της υπηρεσίας Gosuslugi της Ρωσίας.
Οι μέθοδοι λειτουργίας του κακόβουλου λογισμικού ποικίλλουν, με ορισμένες παραλλαγές να λειτουργούν ως εργαλεία σάρωσης που εξάγουν δεδομένα καρτών για μετέπειτα αγορές σε POS, ενώ άλλες εξάγουν άμεσα κλεμμένα διαπιστευτήρια σε κανάλια ελεγχόμενα από επιτιθέμενους.
Αρχιτεκτονική Επικοινωνίας και Δομή Εντολών
Οι κακόβουλες εφαρμογές δημιουργούν επίμονες συνδέσεις με διακομιστές εντολών και ελέγχου μέσω επικοινωνιών WebSocket, επιτρέποντας αμφίδρομες ανταλλαγές σε πραγματικό χρόνο. Οι εφαρμογές εκτελούν εντολές όπως register_device, που μεταδίδει αναγνωριστικά υλικού, μοντέλα συσκευών, κατάσταση υποστήριξης NFC και διευθύνσεις IP στον διακομιστή.
Η εντολή apdu_command προωθεί payment terminal requests στην υποδομή C2, ενώ η apdu_response επιστρέφει επεξεργασμένες απαντήσεις που χειραγωγούν τις ροές συναλλαγών. Πρόσθετες εντολές όπως card_info και get_pin διευκολύνουν την εξαγωγή διαπιστευτηρίων πληρωμής, με τους κακόβουλους παράγοντες να λαμβάνουν αυτοματοποιημένες ειδοποιήσεις που περιέχουν πλήρη στοιχεία καρτών μέσω ενσωματώσεων Telegram (μέσω της εντολής telegram_notification).
Πηγή: secnews.gr
