Ερευνητές της Polish Computer Emergency Response Team εντόπισαν ένα νέο Android malware με την ονομασία ngate, που εκμεταλλεύεται την τεχνολογία nfc για να επιτρέπει σε εγκληματίες να πραγματοποιούν αναλήψεις από ATM χωρίς να έχει κλαπεί ποτέ η φυσική σου κάρτα.

Το πρόγραμμα δεν περιορίζεται στα σταθερά στοιχεία της κάρτας, καταγράφει τη δυναμική επικοινωνία που συμβαίνει όταν το τηλέφωνο κάνει πληρωμή τύπου tap to pay και στέλνει αυτά τα δεδομένα στους servers των επιτιθέμενων.

Μια νέα απειλή στο android

Το ngate εγκαθίσταται σε μολυσμένες συσκευές και «ακροάζεται» στην ανταλλαγή δεδομένων nfc όποτε ο ιδιοκτήτης πραγματοποιεί πληρωμή με τηλέφωνο.

Δεν αρκείται στην αποθήκευση του αριθμού κάρτας: καταγράφει επίσης τους εφάπαξ κωδικούς (tokens) και άλλες λεπτομέρειες που παράγονται κατά τη συναλλαγή, δηλαδή ό,τι χρειάζεται για να εμφανιστεί μια συναλλαγή ως νόμιμη.

Πώς γίνεται το κόλπο

Η απάτη απαιτεί δύο βήματα: πρώτον, το τηλέφωνο πρέπει να μολυνθεί—συνήθως μέσω μιας ψεύτικης ή τροποποιημένης εφαρμογής που ζητά δικαιώματα nfc—και δεύτερον, το θύμα να ξεγελαστεί και να πραγματοποιήσει tap to pay. Τη στιγμή της συναλλαγής, το ngate συλλέγει όσα μεταδίδονται μέσω nfc και τα προωθεί στους εγκληματίες, οι οποίοι στη συνέχεια κάνουν αναλήψεις από atm χρησιμοποιώντας τα κλεμμένα δεδομένα.

Η τεχνολογία nfc δεν είναι ενιαία: ορισμένα συστήματα χρησιμοποιούν στατικούς κωδικούς που υποκλέπτονται πιο εύκολα, ενώ οι σύγχρονες λύσεις πληρωμών (π.χ. visa, mastercard) εφαρμόζουν δυναμικά tokens που αλλάζουν σε κάθε συναλλαγή. Το ngate όμως καταγράφει και αυτά τα δυναμικά στοιχεία, γι’ αυτό είναι πιο επικίνδυνο από παλαιότερα σχήματα υποκλοπής.

Προϋποθέσεις της απάτης και μέτρα προφύλαξης

Η επίθεση δεν «δουλεύει» από μόνη της — χρειάζεται μολυσμένο android και μια πληρωμή tap to pay. Ως εκ τούτου, τα βασικά μέτρα προστασίας είναι: μην εγκαθιστάτε εφαρμογές από ανεπίσημες πηγές, προτιμήστε τις επίσημες τραπεζικές εφαρμογές, ελέγχετε τα δικαιώματα που ζητούν οι εφαρμογές (ειδικά πρόσβαση σε nfc), κρατάτε το λειτουργικό και τις εφαρμογές ενημερωμένες και ενεργοποιείτε τα update ασφαλείας όπου υπάρχουν. Σε περίπτωση αμφιβολίας χρησιμοποιήστε την κάρτα στο τερματικό αντί για tap to pay.