Malware Android mencuri data kartu pembayaran menggunakan teknologi yang belum pernah ada sebelumnya

Perusahaan keamanan siber ESET mengatakan bahwa malware baru yang ditemukan berjalan pada sistem operasi Android mencuri data kartu pembayaran menggunakan pembaca NFC di perangkat yang terinfeksi dan mengirimkannya ke penyerang. Ini adalah teknologi baru yang secara efektif mengkloning kartu tersebut sehingga dapat digunakan di ATM atau tempat penjualan.

Peneliti ESET menamai malware tersebut NGate karena mengandung… Gerbang NFCalat sumber terbuka untuk menangkap, menganalisis, atau mengubah lalu lintas NFC. Singkatan untuk Komunikasi jarak dekatNFC adalah protokol yang memungkinkan dua perangkat berkomunikasi secara nirkabel dalam jarak pendek.

Skenario serangan baru di Android

“Ini adalah skenario serangan baru untuk Android, dan pertama kalinya kami melihat malware Android dengan kemampuan ini digunakan secara liar,” kata peneliti ESET Lukasz Stefanko dalam sebuah laporan. video “Penemuan ini menunjukkan bahwa malware NGate dapat mentransfer data NFC dari kartu korban melalui perangkat yang disusupi ke ponsel pintar penyerang, yang kemudian dapat memalsukan kartu tersebut dan menarik uang dari ATM.”

Malware ini dipasang melalui skenario phishing tradisional, seperti penyerang mengirimkan pesan ke target dan mengelabui mereka agar memasang NGate dari domain jangka pendek yang meniru identitas bank atau aplikasi perbankan seluler resmi yang tersedia di Google Play. NGate menyamar sebagai aplikasi Target Bank yang sah, dan meminta pengguna memasukkan ID pelanggan bank, tanggal lahir, dan PIN kartu yang sesuai. Aplikasi terus meminta pengguna untuk mengaktifkan NFC dan memindai kartu.

ESET mengatakan pihaknya mendeteksi penggunaan NGate terhadap tiga bank Ceko mulai bulan November dan mengidentifikasi enam aplikasi NGate terpisah yang beredar antara waktu tersebut dan bulan Maret tahun ini. Beberapa aplikasi yang digunakan pada bulan-bulan terakhir kampanye hadir dalam bentuk Aplikasi Web Progresif, yang merupakan kependekan dari Aplikasi web progresifyang seperti diberitakan pada hari Kamis, dapat diinstal di perangkat Android dan iOS meskipun pengaturannya (wajib di iOS) mencegah penginstalan aplikasi yang tersedia dari sumber tidak resmi.

ESET mengatakan alasan yang paling mungkin mengapa kampanye NGate berakhir pada bulan Maret adalah… menangkap Polisi Ceko telah menangkap seorang pria berusia 22 tahun, yang menurut mereka kedapatan mengenakan masker saat menarik uang dari ATM di Praha. Penyelidik mengatakan tersangka “menciptakan cara baru untuk menipu orang agar mendapatkan uangnya” menggunakan skema yang tampaknya identik dengan skema yang melibatkan NGate.

Stefanko dan rekan peneliti ESET Jacob Osmani menjelaskan cara kerja serangan tersebut:

Pengumuman polisi Ceko mengungkapkan bahwa skenario serangan dimulai dengan penyerang mengirimkan pesan SMS kepada calon korban tentang pengembalian pajak, termasuk tautan ke situs phishing yang menyamar sebagai bank. Tautan ini kemungkinan besar mengarah ke aplikasi web progresif yang berbahaya. Setelah korban menginstal aplikasi dan memasukkan kredensialnya, penyerang mendapatkan akses ke akun korban. Penyerang kemudian menelepon korban dengan berpura-pura menjadi pegawai bank. Korban diberitahu bahwa akunnya telah diretas, kemungkinan besar karena pesan teks sebelumnya. Penyerang sebenarnya mengatakan yang sebenarnya – akun korban telah diretas, namun kebenaran tersebut kemudian menimbulkan kebohongan lain.

Untuk melindungi uangnya, korban diminta mengubah PIN dan memverifikasi kartu banknya menggunakan aplikasi seluler – malware NGate. Tautan untuk mengunduh NGate dikirim melalui SMS. Kami menduga bahwa dalam aplikasi NGate, para korban memasukkan PIN lama mereka untuk membuat PIN baru dan meletakkan kartu mereka di bagian belakang ponsel cerdas mereka untuk memverifikasi atau menerapkan perubahan.

Karena penyerang sudah memiliki akses ke akun yang disusupi, mereka dapat mengubah batas penarikan. Jika metode penerusan NFC tidak berhasil, dia cukup mentransfer uang ke rekening lain. Namun, penggunaan NGate memudahkan penyerang mengakses dana korban tanpa meninggalkan jejak kembali ke rekening bank penyerang. Diagram urutan serangan ditunjukkan pada Gambar 6.

Para peneliti mengatakan bahwa NGate atau aplikasi serupa dapat digunakan dalam skenario lain, seperti mengkloning beberapa kartu pintar yang digunakan untuk tujuan lain. Serangan tersebut akan bekerja dengan menyalin pengidentifikasi unik tag NFC, disingkat UID.

“Selama pengujian kami, kami berhasil mentransfer pengenal pengguna unik dari tag MIFARE Classic 1K, yang biasanya digunakan untuk tiket transportasi umum, lencana ID, kartu keanggotaan atau pelajar, dan kasus penggunaan serupa,” tulis para peneliti. “Dengan menggunakan NFCGate, serangan transfer NFC dapat dilakukan untuk membaca kode NFC di satu lokasi dan, secara real time, mendapatkan akses ke gedung di lokasi berbeda dengan memalsukan ID pengguna uniknya, seperti yang ditunjukkan pada Gambar 7.”

Operasi kloning dapat terjadi dalam situasi di mana penyerang dapat memperoleh akses fisik ke sebuah kartu atau mampu membaca sekilas kartu di tas tangan, dompet, ransel, atau casing ponsel cerdas yang berisi kartu. Untuk melakukan dan mensimulasikan serangan tersebut, penyerang memerlukan perangkat Android khusus dan telah di-root. Ponsel yang terinfeksi virus NGate tidak mengalami kondisi ini.