NFCShare: Το Android malware διαδίδεται μέσω ψεύτικων ενημερώσεων τραπεζικών εφαρμογών

Ερευνητές της ιταλικής εταιρείας κυβερνοασφάλειας D3Lab εντόπισαν νέες παραλλαγές του κακόβουλου λογισμικού NFCShare για Android, οι οποίες διανέμονται μέσω αποθετηρίου του GitHub με τη μορφή ψεύτικων ενημερώσεων για γνήσιες τραπεζικές εφαρμογές. Το κακόβουλο λογισμικό έχει εξελιχθεί και πλέον στοχεύει πελάτες πολλών τραπεζών και χρηματοπιστωτικών ιδρυμάτων σε ολόκληρη την Ευρώπη, στο πλαίσιο εκστρατείας ηλεκτρονικής απάτης (phishing) που αποσκοπεί στην κλοπή δεδομένων καρτών πληρωμών.

Πώς ξεκινά η επίθεση: Phishing μέσω GitHub

Οι πρόσφατες επιθέσεις NFCShare, που παρατηρήθηκαν από τις 14 Μαΐου, ξεκινούν όταν το θύμα επισκεφθεί έναν ιστότοπο phishing που υποδύεται πραγματική τράπεζα και ζητά τα διαπιστευτήρια τραπεζικής πρόσβασης. Στη συνέχεια, τα θύματα καλούνται να «ενημερώσουν» την τραπεζική τους εφαρμογή και ανακατευθύνονται σε αποθετήριο GitHub που φιλοξενεί κακόβουλο αρχείο APK. Σε παρόμοιες επιθέσεις, SMS ή τηλεφωνικές κλήσεις από ψεύτικους εκπροσώπους τράπεζας χρησιμοποιούνται επίσης ως μέρος της διαδικασίας κοινωνικής μηχανικής, αν και η D3Lab δεν παρατήρησε άμεσα αυτές τις μεθόδους στη συγκεκριμένη εκστρατεία.

Από τη δημιουργία του αποθετηρίου GitHub στις 10 Απριλίου, έχουν φιλοξενηθεί 56 μοναδικά APK αρχεία που υποδύονται εφαρμογές κινητών για τράπεζες κυρίως της Ιταλίας και της Ισπανίας. Τον Ιανουάριο, η D3Lab είχε αναφέρει ότι το κακόβουλο λογισμικό στόχευε αποκλειστικά τη Deutsche Bank στη Γερμανία, γεγονός που υποδηλώνει επέκταση του εύρους στόχευσης.

Η τεχνική υποκλοπής: NFC, IsoDep και WebSocket

Αφού εξαπατήσει τα θύματα με ψεύτική οθόνη «επαλήθευσης» για να τοποθετήσουν τις κάρτες τους κοντά στο τσιπ NFC (Near-Field Communication) της συσκευής, το NFCShare διαβάζει τις πληροφορίες χρησιμοποιώντας τη διεπαφή IsoDep του Android και εντολές EMV. Το κακόβουλο λογισμικό κλέβει τον αριθμό της κάρτας, τον τύπο, την ημερομηνία λήξης και ένα 4ψήφιο PIN που εισάγει το θύμα με την πρόφαση ενός βήματος ασφαλείας, και τα διαβιβάζει στον διακομιστή εντολών και ελέγχου (C2) του επιτιθέμενου μέσω καναλιού WebSocket.

Τα δεδομένα που συλλέγονται με αυτόν τον τρόπο μπορούν στη συνέχεια να χρησιμοποιηθούν σε σχήματα αναμετάδοσης πληρωμών NFC, όπως τεκμηριώνεται στις επιθέσεις κακόβουλων λογισμικών NGate, SuperCard X και RelayNFC. Στην πράξη, ο επιτιθέμενος αναπαράγει ψηφιακά την κάρτα του θύματος σε άλλη συσκευή και πραγματοποιεί ανέπαφες συναλλαγές ή αναλήψεις από ΑΤΜ χωρίς να έχει ποτέ φυσική πρόσβαση στην κάρτα.

Διαφορετικός κώδικας, ίδιο οικοσύστημα;

Ο ερευνητής της D3Lab, Andrea Draghetti, δήλωσε στο BleepingComputer ότι, παρά τις ομοιότητες με άλλα κακόβουλα λογισμικά Android που εκμεταλλεύονται τα τσιπ NFC για κλοπή δεδομένων, το NFCShare χρησιμοποιεί διαφορετικό κώδικα, βιβλιοθήκες, αρχιτεκτονική και λεπτομέρειες υλοποίησης. Ωστόσο, ο Draghetti σημείωσε ότι θα μπορούσε να αποτελεί εξέλιξη του ίδιου οικοσυστήματος, από τους ίδιους παράγοντες απειλής.

Η εταιρεία ThreatFabric αποδίδει την πλατφόρμα στο NFU Pay, μια κινεζική υπηρεσία κακόβουλου λογισμικού ως υπηρεσία (Malware-as-a-Service), που επιτρέπει στους φορείς εκμετάλλευσης να δημιουργούν προσαρμοσμένες, στοχευμένες ανά περιοχή εκδόσεις με δικά τους δελεάσματα τραπεζικής εμφάνισης. Και οι δύο γνωστές εκδόσεις — NFCShare για Ευρώπη και PhantomCard για Βραζιλία — μοιράζονται την ίδια βάση κώδικα για NFC αναμετάδοση, την ίδια διεπαφή χρήστη (μεταφρασμένη στην τοπική γλώσσα) και παρόμοια απόκρυψη συμβολοσειρών.

Νέα τεχνική αποφυγής ανίχνευσης: Παραμορφωμένα APK

Ένα αξιοσημείωτο στοιχείο της νέας έκδοσης του κακόβουλου λογισμικού είναι η εισαγωγή παραμορφωμένης συσκευασίας APK για να παρεμποδίσει την αυτοματοποιημένη ανάλυση και, ενδεχομένως, και τα εργαλεία ασφαλείας. Το αρχείο APK παραμένει αρχείο ZIP, αλλά τα νεότερα δείγματα περιλαμβάνουν κατεστραμμένες/παραμορφωμένες διαδρομές αρχείων εντός του ZIP, με αποτέλεσμα ορισμένα εργαλεία αποσυμπίεσης να ερμηνεύουν εσφαλμένα τις εσωτερικές σχετικές διαδρομές ως διαδρομές συστήματος αρχείων και να δημιουργούν σφάλματα. Η D3Lab σημειώνει, ωστόσο, ότι αυτή η τεχνική δεν αποτρέπει τη χειροκίνητη ανάλυση ή την ανάκτηση κώδικα· αντίθετα, διαταράσσει τη στατική ανάλυση σε συγκεκριμένα εργαλεία.

Πώς να προστατευτείτε

Η χρήση του GitHub ως πλατφόρμας διανομής κακόβουλου λογισμικού δεν είναι νέο φαινόμενο· υπάρχουν ενδείξεις ότι κακόβουλο λογισμικό διανέμεται σε μεγάλη κλίμακα όχι μόνο μέσω ιστοτόπων phishing, αλλά και μέσω GitHub, όπου οι φορείς απειλής αξιοποιούν ενεργά την πλατφόρμα για να φιλοξενούν και να διαδίδουν κακόβουλα αρχεία APK. Αυτό καθιστά τον εντοπισμό ιδιαίτερα δύσκολο για χρήστες που εμπιστεύονται εκ προοιμίου γνωστές πλατφόρμες ανάπτυξης λογισμικού.

Οι χρήστες Android συνιστάται να λαμβάνουν τραπεζικές εφαρμογές αποκλειστικά από το Google Play, να ενεργοποιούν το Play Protect και να είναι επιφυλακτικοί απέναντι σε «αιτήματα επαλήθευσης» που τους ζητούν να τοποθετήσουν την κάρτα τους κοντά στη συσκευή τους. Επιπλέον, κανένας νόμιμος χρήστης δεν πρέπει ποτέ να «χτυπά» την τραπεζική κάρτα του στο τηλέφωνο κατόπιν αιτήματος τρίτου ή επειδή το ζητά μια εφαρμογή. Οι νόμιμες εφαρμογές ενδέχεται να χρησιμοποιούν την κάμερα για σάρωση αριθμού κάρτας, αλλά δεν θα ζητήσουν ποτέ χρήση του αναγνώστη NFC για την ίδια σας κάρτα.

Πηγές

• BleepingComputer – NFCShare Android malware spreads via fake banking app updates on GitHub
• PCRisk – PhantomCard/NFCShare Banking Trojan (Android)
• Kaspersky Blog – Direct and reverse NFC relay attacks being used to steal money