قالت شركة ESET للأمن الإلكتروني إن برمجية خبيثة تم اكتشافها حديثا تعمل على نظام التشغيل أندرويد تقوم بسرقة بيانات بطاقات الدفع باستخدام قارئ NFC في الجهاز المصاب وتنقلها إلى المهاجمين، وهي تقنية جديدة تستنسخ البطاقة بشكل فعال حتى يمكن استخدامها في أجهزة الصراف الآلي أو نقاط البيع.
أطلق باحثو ESET على البرنامج الخبيث اسم NGate لأنه يتضمن بوابة NFC، أداة مفتوحة المصدر لالتقاط أو تحليل أو تغيير حركة مرور NFC. اختصار لـ الاتصالات في المجال القريبNFC هو بروتوكول يسمح لجهازين بالتواصل لاسلكيًا عبر مسافات قصيرة.
سيناريو هجوم جديد على أندرويد
قال الباحث لوكاس ستيفانكو من شركة ESET في تقرير: “هذا سيناريو هجوم جديد لنظام Android، وهي المرة الأولى التي نرى فيها برامج ضارة لنظام Android تتمتع بهذه القدرة تُستخدم في البرية”. فيديو “يُظهر الاكتشاف أن برنامج NGate الخبيث يمكنه نقل بيانات NFC من بطاقة الضحية عبر جهاز مخترق إلى الهاتف الذكي للمهاجم، والذي يكون قادرًا بعد ذلك على محاكاة البطاقة وسحب الأموال من ماكينة الصراف الآلي.”
لوكاس ستيفانكو – كشف قناع NGate.
تم تثبيت البرنامج الخبيث من خلال سيناريوهات التصيد التقليدية، مثل قيام المهاجم بإرسال رسائل إلى الأهداف وخداعهم لتثبيت NGate من نطاقات قصيرة العمر تنتحل هوية البنوك أو تطبيقات الخدمات المصرفية عبر الهاتف المحمول الرسمية المتوفرة على Google Play. يتنكر NGate في هيئة تطبيق شرعي لبنك الهدف، ويطالب المستخدم بإدخال معرف عميل البنك وتاريخ الميلاد ورمز PIN المقابل للبطاقة. يستمر التطبيق في مطالبة المستخدم بتشغيل NFC ومسح البطاقة.
قالت شركة ESET إنها اكتشفت استخدام NGate ضد ثلاثة بنوك تشيكية بدءًا من نوفمبر وحددت ستة تطبيقات NGate منفصلة تم تداولها بين ذلك الوقت ومارس من هذا العام. جاءت بعض التطبيقات المستخدمة في الأشهر اللاحقة من الحملة في شكل تطبيقات ويب تقدمية، وهي اختصار لـ تطبيقات الويب التقدمية، والذي كما ورد يوم الخميس يمكن تثبيته على أجهزة Android وiOS حتى عندما تمنع الإعدادات (إلزامية على iOS) تثبيت التطبيقات المتاحة من مصادر غير رسمية.
قالت شركة ESET إن السبب الأكثر ترجيحًا لانتهاء حملة NGate في شهر مارس هو اعتقال ألقت الشرطة التشيكية القبض على شاب يبلغ من العمر 22 عامًا، وقالت إنه تم القبض عليه وهو يرتدي قناعًا أثناء سحب الأموال من أجهزة الصراف الآلي في براغ. وقال المحققون إن المشتبه به “ابتكر طريقة جديدة لخداع الناس وسرقة أموالهم” باستخدام مخطط يبدو مطابقًا للمخطط الذي يتضمن NGate.
وقد شرح ستيفانكو وزميله الباحث في شركة ESET جاكوب عثماني كيفية عمل الهجوم:
وكشف إعلان الشرطة التشيكية أن سيناريو الهجوم بدأ بإرسال المهاجمين رسائل نصية قصيرة إلى الضحايا المحتملين حول إقرار ضريبي، بما في ذلك رابط لموقع تصيد احتيالي ينتحل صفة البنوك. ومن المرجح أن تؤدي هذه الروابط إلى تطبيقات ويب تقدمية ضارة. وبمجرد أن يقوم الضحية بتثبيت التطبيق وإدخال بيانات اعتماده، تمكن المهاجم من الوصول إلى حساب الضحية. ثم اتصل المهاجم بالضحية، متظاهرًا بأنه موظف في البنك. وأُبلغ الضحية بأن حسابه قد تعرض للاختراق، ويرجع ذلك على الأرجح إلى الرسالة النصية السابقة. وكان المهاجم يقول الحقيقة في الواقع – فقد تعرض حساب الضحية للاختراق، لكن هذه الحقيقة أدت بعد ذلك إلى كذبة أخرى.
ولحماية أموالهم، طُلب من الضحية تغيير رقم التعريف الشخصي الخاص به والتحقق من بطاقته المصرفية باستخدام تطبيق جوال – NGate malware. وتم إرسال رابط لتنزيل NGate عبر رسالة نصية قصيرة. ونشتبه في أن الضحايا كانوا يقومون داخل تطبيق NGate بإدخال رقم التعريف الشخصي القديم لإنشاء رقم جديد ووضع بطاقتهم في الجزء الخلفي من هواتفهم الذكية للتحقق من التغيير أو تطبيقه.
نظرًا لأن المهاجم كان لديه بالفعل إمكانية الوصول إلى الحساب المخترق، فيمكنه تغيير حدود السحب. إذا لم تنجح طريقة إعادة توجيه NFC، فيمكنه ببساطة تحويل الأموال إلى حساب آخر. ومع ذلك، فإن استخدام NGate يجعل من الأسهل على المهاجم الوصول إلى أموال الضحية دون ترك آثار تعود إلى حساب المهاجم المصرفي. يظهر مخطط لتسلسل الهجوم في الشكل 6.
وقال الباحثون إن NGate أو التطبيقات المشابهة له يمكن استخدامها في سيناريوهات أخرى، مثل استنساخ بعض البطاقات الذكية المستخدمة لأغراض أخرى. وسوف يعمل الهجوم عن طريق نسخ المعرف الفريد لعلامة NFC، والمختصر باسم UID.
“خلال اختباراتنا، نجحنا في نقل معرف المستخدم الفريد من علامة MIFARE Classic 1K، والتي تُستخدم عادةً لتذاكر النقل العام، وشارات الهوية، وبطاقات العضوية أو الطلاب، وحالات الاستخدام المماثلة”، كما كتب الباحثون. “باستخدام NFCGate، من الممكن تنفيذ هجوم نقل NFC لقراءة رمز NFC في مكان واحد، وفي الوقت الفعلي، الوصول إلى المباني في مكان مختلف من خلال محاكاة معرف المستخدم الفريد الخاص به، كما هو موضح في الشكل 7.”
تكبير/ الشكل 7. هاتف ذكي يعمل بنظام Android (على اليمين) يقوم بقراءة معرف UID الخاص برمز NFC الخارجي ونقله إلى جهاز آخر (على اليسار).
إسيت
قد تحدث عمليات الاستنساخ في المواقف التي يكون فيها المهاجم قادرًا على الوصول فعليًا إلى بطاقة أو يكون قادرًا على قراءة بطاقة لفترة وجيزة في حقائب اليد أو المحافظ أو حقائب الظهر أو حافظات الهواتف الذكية التي تحتوي على بطاقات. لتنفيذ مثل هذه الهجمات ومحاكاتها، يتطلب المهاجم أن يكون لديه جهاز Android مخصص ومُثبت عليه روت. الهواتف التي أصيبت بفيروس NGate لم يكن لديها هذا الشرط.
