Škodlivá aplikácia dokáže ukradnúť peniaze preposlaním dát platobnej karty

Výskumníci z firmy ESET zverejnili analýzu škodlivého softvéru, ktorý je schopný prečítať dáta z fyzickej bezkontaktnej platobnej karty obete a preposlať ich útočníkovi. Ten ich môže zneužiť na platbu v bezkontaktnom termináli a, ak sa podarí z obete „sociálnym inžinierstvom“ vytiahnuť PIN, aj na výber hotovosti z bankomatu.

Ako uvádzajú pracovníci ESET-u Lukáš Štefanko a Jakub Osmani, škodlivý softvér bol cielený na klientov troch českých bánk. Útoky tejto skupiny útočníkov sa začali objavovať už v novembri 2023, pokročilá metóda odchytávania dát z fyzických kariet nazvaná NGate pribudla v marci 2024.  

Škrtom cez rozpočet útočníkom sa stalo zatknutie podozrivého v Prahe 20. marca 2024. Polícia bola upozornená na maskovaného muža, ktorý dlhší čas vyberal z bankomatov. Po jeho zadržaní sa zistilo, že 22-ročný cudzinec mal pri sebe 160-tisíc českých korún (približne 6 400 eur) v hotovosti.

Polícia ČR informovala, že podozrivý bol zadržaný aj na základe nahlásenia podvodu poškodenou 50-ročnou ženou, ktorej bolo z účtu neoprávnene vybratých necelých 40-tisíc korún (približne 1 600 eur). Okrem nej boli peniaze vrátené aj ďalším dvom poškodeným.

Škodlivé aplikácie aj „sociálne inžinierstvo“

Na dosiahnutie svojho cieľa zvolili útočníci kombináciu viacerých techník. Na začiatku je to SMS oznamujúca preplatok na daniach. V správe sa nachádza odkaz na falošnú aplikáciu, ktorá na prvý pohľad vyzerá ako legitímna aplikácia príslušnej banky.

Okrem SMS sa útoky šírili aj prostredníctvom škodlivých reklám na platforme Meta, prevádzkujúcej sociálne siete Facebook a Instagram. Ďalším kanálom šírenia škodlivého softvéru bol automatizovaný telefónny hovor upozorňujúci na potrebu aktualizácie bankovej aplikácie.

https://twitter.com/michalblaha/status/1744653594358395147

Podvodná aplikácia dokáže odchytiť prihlasovacie údaje do banky. PIN ku karte sa získava pomocou „sociálneho inžinierstva“. Obeť je oslovená telefonátom, v ktorom útočník, tváriaci sa ako banka, oznámi, že je z bezpečnostných dôvodov PIN nutné zmeniť. Falošná aplikácia ho tak dokáže odchytiť.

Útočník presvedčí obeť aby priložila svoju kartu k telefónu. NFC čip v mobile, slúžiaci na bezkontaktné platby, prečíta dáta z karty a prepošle ich útočníkovi. Ten cez špeciálne upravený telefón dokáže simulovať platobnú kartu obete.

https://youtu.be/q69--5rdlmI

Útočník, ktorý pozná PIN obete, dokáže z bankomatu vybrať hotovosť v rámci denného limitu. Ak sa útočníkovi nepodarilo PIN odchytiť, v platobnom termináli je možné vykonať menšiu platbu aj bez jeho zadania (na Slovensku do 50 eur).

Veľkým rizikom tohto druhu útoku je, že môžu byť okradnutí aj ľudia, ktorí si z bezpečnostných dôvodov neukladajú informácie o fyzických platobných kartách do mobilného telefónu.

Rovnakým spôsobom ako platobné karty je možné zneužiť aj niektoré prístupové karty do budov. Tie je možné po odchytení dát vyklonovať a získať tak nelegitímny vstup do chránených priestorov.

Progresívne webové aplikácie

Technológia, cez ktorú útoky prebiehajú, sa nazýva progresívna webová aplikácia (PWA). V princípe nejde o bežnú mobilnú aplikáciu, ale o špeciálnu webovú stránku spracovávanú mobilným prehliadačom, ktorá na prvý pohľad ako aplikácia vyzerá.

Vzhľadom na to, že sa využívajú iba webové technológie, PWA je schopná bežať na každom operačnom systéme, kde je k dispozícii internetový prehliadač. Problémom je, že na rozdiel od bežných aplikácií tretích strán operačný systém pred inštaláciou takýto aplikácií nevaruje o ich rizikách.

Na operačnom systéme Android je v rámci ikony PWA aj drobná ikonka internetového prehliadača, cez ktorý sa PWA spúšťajú. Tento „problém“, ktorý by mohol obeť útoku zneistiť, útočníci riešia použitím takzvanej WebAPK, čo je PWA „zabalená“ do súboru aplikácie pre Android. Tie dokáže generovať prehliadač Google Chrome.

Útoky s použitím PWA sa objavili v Poľsku v júli 2023, v Čechách sa vyskytli v novembri 2023. Sú známe aj prípady cielené na klientov maďarskej OTP banky a gruzínskej banky TBC.

Prístup k NFC

Zneužitie pomocou získania dát z fyzickej platobnej karty je momentálne možné iba na operačnom systéme Android. Tam je prístup k NFC protokolu používanom na bezkontaktné platby k dispozícii pre všetky aplikácie.

Telefón obete nemusí byť špeciálne upravený, takzvaný „rootnutý“. Takúto úpravu vyžaduje až telefón útočníka na „druhej strane“, ktorý simuluje platobnú kartu.

Operačný systém iOS bežiaci na iPhone momentálne prístup k NFC pre tretie strany neumožňuje. Tento spôsob komunikácie dokáže využívať iba platobný systém Apple Pay od výrobcu operačného systému.

Apple pripravuje prístup k NFC aj pre vývojárov tretích strán. Podľa zverejnenej špecifikácie však bude takáto komunikácia podliehať zvýšenej bezpečnostnej kontrole.