Искате ли да загубите всичките си спестявания? Просто приложете дебитната

Едно допиране и сбогом на парите: китайската SuperCard X отнема данните на картата чрез NFC модула

Искате ли да загубите всичките си спестявания? Просто приложете дебитната си карта към своя смарт телефон.

Cleafy, компания за мобилна сигурност, разкри детайлности за нова незаконна скица, която заплашва притежателите на банкови карти. Нападателите са основали платформата SuperCard X, която работи по модела „ злотворен програмен продукт като услуга “ и разрешава да се откраднат данни посредством NFC модула на смарт телефона за следващи преводи в комерсиалните обекти и банкоматите.

Проучването разкри, че зад създаването стоят свързани с Китай субекти. По време на разбора на софтуерния код специалистите откриват очевидни прилики с плана с отворен код NFCGate и неговия злоумишлен клонинг NGate. Последният интензивно се употребява за офанзиви в европейските страни повече от година, което демонстрира последователност на незаконните технологии.

Разпространението на SuperCard X е проведено посредством каналите на Telegram, където на клиентите се предлага освен самият артикул, само че и директна техническа поддръжка. Мащабът на опасността се удостоверява от многочислените случаи на този злотворен програмен продукт в Италия. След като изследваха десетки мостри с незначителни разлики, специалистите на Cleafy стигнаха до заключението, че създателите имат подготвеност да приспособяват продукта си към съответни райони или към характерни задания на клиентите.

Атаката стартира с подправено известие, което жертвата получава сякаш от своята банка посредством SMS или WhatsApp. В него се приказва за подозрителна трансакция и за нуждата незабавно да се обади на посочения номер, с цел да реши казуса. На този стадий измамниците целят да основат възприятие за неотложност, тъй че жертвата да работи по-малко внимателно.

Когато притежателят на картата се обади на посочения номер, на позвъняването дава отговор лъжец, който се показва за представител на отдела за обслужване на клиенти. Използвайки техники за обществено инженерство, той измъква номера на картата и ПИН кода под предлог за „ инспекция на самоличността “. Следващата стъпка е опит за увещание на жертвата да отстрани лимитите за транзакции посредством банковото приложение, което доста уголемява опциите за кражба на средства.

Схемата се приключва с инсталирането на особено приложение Reader, маскирано като инструмент за сигурност или инспекция. Именно в него се съдържа зловредният програмен продукт SuperCard X. Разработчиците са били изключително изобретателни: програмата желае минимални позволения – единствено достъп до NFC модула – което оказва помощ да се понижи бдителността на потребителя. Това обаче е изцяло задоволително за осъществяване на кражба.

По напътствие на подправения банкер притежателят на картата слага картата върху или до телефона за „ инспекция “. В този миг се започва механизмът за четене на информация от чипа, която незабавно се изпраща на нападателите. На своето устройство с Android те употребяват второ приложение – Tapper, което основава виртуално копие на банковата карта въз основа на получените данни.

Тези „ цифрови клонинги “ им дават опция да правят безконтактни заплащания в магазините и да теглят пари в брой от банкоматите. Въпреки съществуващите ограничавания за размера на сумите, откриването и анулацията на тези преводи е извънредно мъчно – те са мигновени и наподобяват изцяло законни за банковите системи.

Зловредният програмен продукт се основава на протокола ATR (Answer to Reset) – общоприет механизъм, който се задейства всякога, когато картата се свързва с терминал. Когато терминалът изпрати сигнал за инспекция на картата, тя би трябвало да отговори със специфичен код, който удостоверява нейната достоверност. SuperCard X се е научила да имитира тъкмо тези отговори, т.е. да генерира същите последователности от байтове, които идват от същинска сметка.

Усъвършенстваните механизми за маскиране на зловредния програмен продукт са изключително рискови. По време на проучването нито една антивирусна стратегия на VirusTotal не можа да разпознае опасността. Обикновено подозрителните стратегии се пробват да получат необятен достъп до функционалностите на смарт телефона или основават подправени прозорци върху интерфейса на банковото приложение, с цел да откраднат паролите. SuperCard X не желае такива права, тъй че антивирусните стратегии не я виждат даже при потребление на евристични способи – когато програмата се ревизира не по отношение на база данни с прочут злотворен програмен продукт, а по присъщото ѝ държание.

Нападателите са внедрили и система за засвидетелствуване, основана на TLS – актуалния стандарт за отбрана на интернет връзките, употребен от банките и платежните системи. Когато програмата обменя данни със сървърите на измамниците, тя криптира целия трафик със специфични цифрови документи. Това прави невероятно за откривателите да прихванат и декриптират командите, които SuperCard X получава, или данните, които изпраща на основателите си.

В отговор на журналистическо питане представител на Гугъл съобщи, че в формалния магазин Гугъл Play няма приложения с сходен злотворен код. В същото време той акцентира, че притежателите на Android устройства са предпазени по дифолт от системата Гугъл Play Protect, която предизвестява за заплаха или блокира подозрителните стратегии, даже в случай че те са конфигурирани от източници на трети страни.

В умозаключение, макар че този вид офанзива разчита на относително елементарни техники за обществено инженерство, тя се оказва извънредно ефикасна – както във връзка с % на успеваемост, по този начин и във връзка с успеваемостта на изтегляне на парите. Използването на голям брой вектори на офанзива в границите на една и съща акция за машинация прибавя още едно равнище на трудност. този многоканален метод слага спомагателни провокации пред напъните за мониторинг и акцентира възходящата потребност от благоприятни условия за разкриване в действително време.