NFC-malware leegt bankrekeningen | Haze online
Android-malware die gegevens van NFC-kaarten kopieert en overdraagt, is gevonden door het Slowaakse IT-beveiligingsbedrijf ESET. In de loop van enkele maanden werden derdenrekeningen bij drie Tsjechische banken leeggemaakt. Eén verdachte zit sinds maart in hechtenis, maar copycats zijn waarschijnlijk slechts een kwestie van tijd. De malware, genaamd NGate, zou gebaseerd zijn op software geschreven door studenten van de Technische Universiteit van Darmstadt en gepubliceerd voor onderzoeksdoeleinden.
advertentie
Dit programma heet nfcgate Het vangt, analyseert en wijzigt gegevens die via NFC-communicatie worden verzonden. Het doel is om het begrip van transportprotocollen te verdiepen en de veiligheid ervan te bepalen. Volgens ESET hebben onbekende personen de Darmstadt-code gebruikt om de NFC NGate-malware voor illegale doeleinden te programmeren.
NFC staat voor Near Field Communication; Dit is een ruim twintig jaar oud proces voor contactloze gegevensoverdracht over een afstand van slechts enkele centimeters. NFC-chips worden bijvoorbeeld gebruikt in mobiele telefoons, toegangskaarten, reisdocumenten en bankpassen. Het merendeel van de Duitse consumenten betaalt nu contactloos, dankzij NFC-technologie. Ook in Tsjechië zijn NFC-compatibele bankkaarten al lange tijd standaard. De dader(s) hebben hiervan misbruik gemaakt.
Aanval in meerdere fasen
De aanvallen begonnen met sms-berichten, mogelijk verzonden naar willekeurige Tsjechische mobiele telefoonnummers. Het beloofde een belastingvoordeel te betalen, waarvoor de installatie van een bijbehorende applicatie vereist die rechtstreeks in de browser draait (Progressive Web Application, PWA). Nee, dit is nog geen NFC-malware. Iedereen die de app installeerde en zijn bankgegevens invoerde, gaf de daders toegang tot hun bankrekening. Hierna volgde een telefoontje van iemand die de rol speelde van een ‘behulpzame bankmedewerker’. Deze persoon heeft het slachtoffer (eigenlijk terecht) laten weten dat hij of zij het slachtoffer was van een IT-aanval.
Volgens het verhaal was de “noodzakelijke oplossing” het installeren van een andere app, zodat je snel de pincode van je bankpas kon wijzigen. Om dit te doen, werd het slachtoffer naar websites gestuurd die de Google Play Store nabootsten om de NGate-malware te downloaden en te installeren. Dit was NFC-malware. (ESET vindt het niet in de echte Google Play Store.) De software bootst de interface van echte bankapps na en vraagt om je klantnummer, geboortedatum en pincode. Het geeft de gebruiker ook opdracht om de juiste bankkaart voor het apparaat te bewaren. Indien nodig is ook NFC-bediening op de mobiele telefoon vereist.
In werkelijkheid is niets hiervan bedoeld om de bankrekening te beschermen; In plaats daarvan stuurt de malware pincode- en NFC-gegevens naar de geroote Android-telefoon. In Tsjechië ging een gemaskerde persoon met zijn mobiele telefoon naar een NFC-geschikte geldautomaat en nam geld op van de rekening van iemand anders. Dankzij de eerste applicatie die toegang kreeg tot het online bankieren van het slachtoffer, konden de daders de opnamelimieten verhogen.
Wortelen is niet vereist
Het was overigens niet nodig om de mobiele telefoons van de slachtoffers te rooten. ESET bevestigt. De onderzoekers ontdekten NGate-varianten voor zes verschillende Tsjechische banken, altijd ondertekend met hetzelfde ontwikkelaarscertificaat.
Er zijn succesvolle aanvallen bekend op klanten van drie Tsjechische banken. Toen de Tsjechische politie in maart een 22-jarige verdachte arresteerde, was hij in het bezit van het equivalent van ruim €6.000. Het geld zou alleen afkomstig zijn van zijn laatste drie slachtoffers, waardoor de omvang van de schade waarschijnlijk meerdere malen groter zal zijn. de De politie doet een oproep aan de slachtoffersOm een melding te doen en eventueel te vertellen bij welke geldautomaat hun rekening is gefaciliteerd.
Overigens: als de daders het slachtoffer niet konden overtuigen om de NFC-malware te installeren, verrijkten ze zichzelf graag door overboekingen te doen naar de rekening van iemand anders. Daarvoor was de eerste app voldoende, zonder enige NFC.
bijwerken
09:06
uur
In de hoofdtitel en de aftiteling stond “gekopieerde bankkaarten”, wat niet waar is. Daarom hebben wij dat veranderd. De aanval simuleert slechts een kaart waarin de malware de antwoorden van de echte kaart onderschept en deze naar de dader voor het apparaat stuurt, zoals in hetzelfde artikel correct wordt uitgelegd.
(S)
“Coffee fanatic. Gamer. Award-winning zombie aficionado. College student. Hardcore internet proponent. Twitter guru. Subtly charming bacon nerd. Thinker.”