Android i płatności zbliżeniowe: nowa fala ataków NFC omija klasyczne zabezpieczenia

securitybeztabu.pl 19 godzin temu

Wprowadzenie do problemu / definicja

Ekosystem Androida ponownie znalazł się w centrum zainteresowania badaczy bezpieczeństwa za sprawą kampanii wymierzonych w płatności mobilne i zbliżeniowe. W najnowszych scenariuszach cyberprzestępcy nie ograniczają się do kradzieży loginów i haseł do bankowości elektronicznej, ale wykorzystują funkcje NFC oraz komunikację między urządzeniami do obchodzenia zabezpieczeń procesu płatniczego.

Największe zagrożenie stanowią złośliwe aplikacje na Androida, które po instalacji mogą przechwytywać lub zdalnie przekazywać dane związane z kartą płatniczą albo sesją płatniczą. W praktyce oszustwo może wyglądać jak legalna transakcja zbliżeniowa wykonana przy terminalu, mimo iż ofiara i przestępca znajdują się w zupełnie innych miejscach.

W skrócie

Nowa fala ataków na Androida rozwija model nadużyć NFC relay, często określanych jako „ghost tap”. Celem takich operacji jest wykonanie nieautoryzowanych transakcji zbliżeniowych bez fizycznego przejęcia karty ofiary.

atak rozpoczyna się zwykle od socjotechniki, np. fałszywego alertu o incydencie bezpieczeństwa,
ofiara jest nakłaniana do instalacji aplikacji APK spoza oficjalnego sklepu,
następnie użytkownik proszony jest o przyłożenie karty płatniczej do telefonu,
złośliwe oprogramowanie odczytuje dane NFC i przekazuje je do infrastruktury atakującego,
przestępca wykorzystuje te dane do realizacji oszustw przy terminalach POS lub bankomatach obsługujących transakcje zbliżeniowe.

Z perspektywy bezpieczeństwa nie jest to już wyłącznie klasyczne malware bankowe. To połączenie złośliwej aplikacji, inżynierii społecznej, nadużycia funkcji Androida i słabości części istniejących mechanizmów antyfraudowych.

Kontekst / historia

Zagrożenia związane z NFC nie są nowością, jednak przez długi czas postrzegano je głównie jako scenariusze badawcze lub niszowe operacje wymagające zaawansowanego zaplecza technicznego. W ostatnim czasie wyraźnie widać jednak komercjalizację tego modelu ataku, w tym sprzedaż gotowych narzędzi i usług ułatwiających przeprowadzanie oszustw z użyciem relayingu NFC.

Wcześniejsze kampanie, takie jak NGate, udowodniły, iż możliwe jest zdalne przenoszenie danych odczytanych z karty ofiary do urządzenia wykorzystywanego przez przestępcę. Nowsze warianty rozwijają ten model, oferując lepszą automatyzację, szybszy cash-out oraz szersze wykorzystanie aplikacji podszywających się pod narzędzia bankowe, bezpieczeństwa lub weryfikacji tożsamości.

Istotnym czynnikiem jest także zmiana zachowań użytkowników. Rosnąca popularność płatności mobilnych sprawia, iż wiele osób chętniej ufa instrukcjom związanym z NFC, zwłaszcza gdy komunikat pozornie pochodzi od banku lub operatora płatności. To zwiększa skuteczność kampanii łączących malware z vishingiem, phishingiem i fałszywymi aplikacjami.

Analiza techniczna

Techniczny rdzeń ataku opiera się na przechwyceniu lub przekazaniu danych NFC odczytanych przez urządzenie z Androidem. Po stronie ofiary złośliwa aplikacja działa jak lokalny czytnik karty: instruuje użytkownika, aby zbliżył kartę płatniczą do telefonu, a następnie przesyła odczytane dane przez sieć do systemu kontrolowanego przez przestępców.

Po stronie atakującego drugie urządzenie emuluje lub odtwarza sesję zbliżeniową w taki sposób, aby terminal płatniczy zinterpretował operację jako zwykłą transakcję typu tap-to-pay. Dla części infrastruktury akceptanta i części systemów antyfraudowych taka operacja może wyglądać poprawnie, ponieważ zachowuje cechy typowej płatności bezstykowej, a opóźnienie transmisji bywa bardzo niewielkie.

W bardziej zaawansowanych wariantach malware zawiera moduły odpowiedzialne za komunikację z serwerem C2 lub brokerem sesji, obsługę APDU i relay danych NFC w czasie rzeczywistym, ukrywanie aplikacji przed użytkownikiem, wymuszanie ustawień niezbędnych do działania oraz wspieranie kampanii phishingowych i głosowych.

Kluczowe znaczenie ma jednak nie tylko sam kod złośliwego oprogramowania, ale cały łańcuch operacyjny. Ofiara najpierw otrzymuje wiadomość SMS, komunikat w komunikatorze albo telefon o rzekomej podejrzanej aktywności. Następnie jest przekonywana do instalacji aplikacji spoza oficjalnego sklepu i wykonania pozornie ochronnej czynności, czyli przyłożenia karty do telefona, a czasem również podania PIN-u lub innych danych. To przesuwa atak z obszaru czysto technicznego w stronę fraudu wspieranego malware.

Na poziomie systemów płatniczych problem polega na tym, iż relay NFC osłabia część tradycyjnych założeń detekcyjnych. o ile transakcja wygląda jak fizyczne użycie karty lub urządzenia zbliżeniowego, mechanizmy monitorujące muszą opierać się na dodatkowych sygnałach, takich jak geolokalizacja, profil urządzenia, wzorce zachowania klienta czy korelacja zdarzeń między kanałem mobilnym i kartowym.

Konsekwencje / ryzyko

Dla użytkownika indywidualnego najważniejszym skutkiem jest ryzyko nieautoryzowanych transakcji kartowych, często wykonywanych bardzo gwałtownie po kompromitacji. W części przypadków oszuści realizują kilka operacji o niższej wartości, aby zmniejszyć prawdopodobieństwo natychmiastowego wykrycia.

Dla banków, operatorów płatności i akceptantów zagrożenie ma szerszy wymiar. Oznacza wzrost liczby sporów transakcyjnych, większe koszty chargebacków oraz trudności w odróżnieniu legalnej płatności zbliżeniowej od sesji pochodzącej z relaya. Dodatkowo kampanie tego typu mogą podważać zaufanie do usług mobilnych, choćby jeżeli źródłem incydentu była instalacja nieautoryzowanego APK i skuteczna socjotechnika.

Ryzyko dotyczy również organizacji korzystających z Androida jako platformy korporacyjnej. o ile pracownik używa służbowego lub hybrydowego urządzenia do płatności, bankowości albo przechowywania danych uwierzytelniających, infekcja może stać się punktem wyjścia do dalszych nadużyć finansowych i przejęcia wrażliwych informacji.

Rekomendacje

Najważniejszą zasadą po stronie użytkownika jest bezwzględne unikanie instalacji plików APK spoza zaufanych źródeł. Bank, operator płatności ani dział bezpieczeństwa nie powinny wymagać instalowania aplikacji przesłanej przez SMS, e-mail lub komunikator w celu rzekomego zabezpieczenia konta.

wyłączaj NFC, gdy nie jest potrzebne,
regularnie aktualizuj Androida i poprawki bezpieczeństwa,
korzystaj wyłącznie z oficjalnych sklepów z aplikacjami,
nie przykładaj karty płatniczej do telefonu na polecenie osoby dzwoniącej lub piszącej,
włącz powiadomienia o transakcjach oraz limity dla płatności zbliżeniowych,
regularnie sprawdzaj historię operacji kartowych,
zgłaszaj bankowi każdą nietypową prośbę dotyczącą weryfikacji karty lub urządzenia.

Po stronie instytucji finansowych i zespołów bezpieczeństwa najważniejsze znaczenie mają analiza anomalii charakterystycznych dla relay NFC, korelacja geograficzna i czasowa aktywności klienta z transakcją, wykrywanie nietypowych zmian na urządzeniach mobilnych oraz rozwój mechanizmów device intelligence i behavioral analytics. Równie ważne są intensywne kampanie edukacyjne dotyczące fałszywych aplikacji, phishingu i vishingu.

W środowiskach korporacyjnych warto dodatkowo wdrażać polityki MDM lub MAM blokujące instalację aplikacji z nieautoryzowanych źródeł, monitorować ryzykowne uprawnienia oraz rozdzielać funkcje płatnicze i biznesowe na urządzeniach mobilnych.

Podsumowanie

Nowa generacja ataków na Androida pokazuje, iż bezpieczeństwo płatności mobilnych nie zależy wyłącznie od kryptografii i ochrony samej aplikacji bankowej. Coraz większe znaczenie ma bezpieczeństwo całego łańcucha, od zachowania użytkownika, przez architekturę Androida, po systemy antyfraudowe instytucji finansowych.

Scenariusze wykorzystujące relay NFC i złośliwe aplikacje podszywające się pod legalne narzędzia są szczególnie niebezpieczne, ponieważ łączą wiarygodną socjotechnikę z technikami utrudniającymi wykrycie oszustwa. Dla rynku oznacza to konieczność traktowania mobilnego fraudu jako złożonego problemu obejmującego malware, oszustwa płatnicze oraz luki operacyjne w procesie autoryzacji.