ESET araştırmacıları, üç Çek bankasının müşterilerini hedef alan bir suç yazılımı kampanyasını ortaya çıkardı. Saldırganlar sosyal mühendislik, kimlik avı ve Android kötü amaçlı yazılımını içeren teknikleri yeni bir saldırı senaryosunda birleştirdi.
ESET, Çek bankalarını taklit eden mesajların Çekya’daki rastgele telefon müşterilerine gönderildiğine ve bu eylemin sonucunda da üç bankanın müşterilerini ağlarına düşürdüklerine inanıyor. Saldırganlar kurbanların fiziksel ödeme kartlarından NFC verilerini kopyalayarak ve bu verileri saldırganın cihazına aktararak orijinal kartı taklit edebilmiş ve bir ATM’den para çekmişler.
ESET’in NGate adını verdiği kötü amaçlı yazılım, Android cihazlarına yüklenen kötü amaçlı bir uygulama aracılığıyla kurbanların ödeme kartlarındaki verileri saldırganın root’lu Android telefonuna aktarma gibi benzersiz bir yeteneğe sahip. Suç kampanyasının birincil amacı, kurbanların banka hesaplarından yetkisiz ATM para çekme işlemlerini kolaylaştırmak. Bu yasa dışı işlem, kurbanların fiziksel ödeme kartlarındaki yakın alan iletişimi (NFC) verilerinin, NGate Android kötü amaçlı yazılımı kullanılarak ele geçirilmiş Android akıllı telefonları aracılığıyla saldırganın cihazına aktarılmasıyla gerçekleştirilmiş. Saldırgan daha sonra bu verileri ATM işlemlerini gerçekleştirmek için kullanmış. Bu yöntemin başarısız olması durumunda saldırganın kurbanların hesaplarından başka banka hesaplarına para aktarmak için oluşturduğu bir yedek planın da olduğu belirlendi.
Yeni tehdidi ve tekniği keşfeden Lukáš Štefanko, “Bu yeni NFC aktarım tekniğini daha önce keşfedilen hiçbir Android kötü amaçlı yazılımında görmedik. Teknik, Almanya’daki Darmstadt Teknik Üniversitesi öğrencileri tarafından NFC trafiğini yakalamak, analiz etmek veya değiştirmek için tasarlanan NFCGate adlı bir araca dayanıyor; bu nedenle bu yeni kötü amaçlı yazılım ailesine NGate adını verdik” dedi. Mağdurlar, bankalarıyla iletişim kurduklarını ve cihazlarının tehlikede olduğunu düşünerek kandırıldıktan sonra kötü amaçlı yazılımı indirip yüklediler. Gerçekte kurbanlar, potansiyel bir vergi iadesi ile ilgili aldatıcı bir SMS mesajındaki bağlantıdan bir uygulama indirip yükleyerek farkında olmadan kendi Android cihazlarını tehlikeye atmışlar.
NGate hiçbir zaman resmi Google Play mağazasında yer almadı
NGate Android kötü amaçlı yazılımı, Kasım 2023’ten bu yana Çekya’da faaliyet gösteren bir tehdit aktörünün kimlik avı faaliyetleriyle ilgili. Ancak ESET, Mart 2024’te bir şüphelinin tutuklanmasının ardından bu faaliyetlerin askıya alındığına inanıyor. ESET Research, önde gelen Çek bankalarının müşterilerini hedef alan tehdit aktörünü ilk olarak Kasım 2023’ün sonunda fark etti. Kötü amaçlı yazılım, yasal bankacılık web sitelerini veya Google Play mağazasında bulunan resmi mobil bankacılık uygulamalarını taklit eden kısa ömürlü alan adları aracılığıyla teslim edildi. Bu sahte alan adları, bir müşterinin markasını hedef alan tehditlerin izlenmesini sağlayan ESET Marka İstihbarat Hizmeti aracılığıyla tespit edildi. Aynı ay içinde ESET, bulguları müşterilerine bildirdi.
