image

Androidmalware onderschept NFC-verkeer om geld slachtoffers te stelen

donderdag 22 augustus 2024, 13:29 door Redactie, 13 reacties

Onderzoekers hebben Androidmalware ontdekt die NFC-verkeer van slachtoffers onderschept en doorstuurt naar een aanvaller, die bij een geldautomaat staat en zo geld van de rekening van het slachtoffer pint. Dat laat antivirusbedrijf ESET in een analyse weten. Ook de Tsjechische politie waarschuwt voor de malware.

De aanval begint met een malafide sms-bericht dat slachtoffers ontvangen en over belastingteruggave gaat. De link in het sms-bericht wijst naar een phishingsite die op de website van een Tsjechische bank lijkt. Via deze site worden slachtoffers vermoedelijk verleid tot het installeren van een progressive web app (PWA), aldus ESET. Een progressive web app is een type applicatie dat via het web wordt aangeboden en gebruikmaakt van bekende webtechnologieën zoals HTML, CSS, JavaScript en WebAssembly. Het werkt daarbij op de meeste browsers.

Zodra het slachtoffer de app geïnstalleerd heeft vraagt die om gegevens voor internetbankieren. Met de ingevulde inloggegevens krijgt de aanvaller toegang tot de rekening van het slachtoffer. Vervolgens belt de aanvaller het slachtoffer en doet zich daarbij voor als bankmedewerker. De aanvaller laat het slachtoffer weten dat zijn rekening is gecompromitteerd, vermoedelijk via een sms-bericht.

Om het geld op de rekening "te beschermen" wordt het slachtoffer gevraagd zijn pincode te wijzigen en zijn pinpas via een mobiele app te verifiëren. In werkelijkheid is dit de NGate-malware. Een link om deze malware te downloaden wordt via sms naar slachtoffers gestuurd. De NGate-malware vraagt slachtoffers om allerlei informatie, zoals klant-ID, geboortedatum en pincode van de betaalpas.

Vervolgens vraagt de malware aan slachtoffers om de NFC-functie van hun smartphones in te schakelen en dan de pinpas op de telefoon te plaatsen totdat de malware de pinpas herkent. In werkelijkheid stuurt de malware NFC-data van de pinpas van het slachtoffer via een server naar een Androidtelefoon van de aanvaller. Hierdoor kan de aanvaller de pinpas van het slachtoffer op zijn eigen telefoon emuleren en zo bij geldautomaten die NFC ondersteunen geld van de rekening van het slachtoffer opnemen.

Image

"Als het slachtoffer de instructies van NGate volgt, zorgt het ervoor dat de aanvaller het NFC-verkeer van de pinpas van het slachtoffer kan relayen. Dit zorgt ervoor dat de aanvaller met de financiële informatie van het slachtoffer geld kan opnemen of bij contactloze pinautomaten betalingen kan doen", aldus onderzoeker Lukas Stefanko.

Hij merkt op dat het de eerste keer is dat ESET een dergelijke NFC-relaytechniek door malware gebruikt ziet worden. De techniek is gebaseerd op een tool genaamd NFCGate, ontwikkeld door studenten van de Technische Universiteit van Darmstadt. Via de tool is het mogelijk om NFC-verkeer te onderscheppen, analyseren en aan te passen. In deze zaak heeft de Tsjechische politie een 22-jarige verdachte aangehouden. Daarnaast kon het contant opgenomen geld van drie slachtoffers worden veiliggesteld.

Image

Reacties (13)
22-08-2024, 13:32 door Anoniem
Ja, daar kon je op wachten natuurlijk. Ik begrijp ook niet waarom je zonodig met je onveilige smartphone moet betalen...
22-08-2024, 14:53 door Anoniem
Door Anoniem: Ja, daar kon je op wachten natuurlijk. Ik begrijp ook niet waarom je zonodig met je onveilige smartphone moet betalen...

De banken claimen dat het veilig(er) is dan andere bestaande oplossingen.
(Voor hen)
22-08-2024, 16:36 door _R0N_
Door Anoniem: Ja, daar kon je op wachten natuurlijk. Ik begrijp ook niet waarom je zonodig met je onveilige smartphone moet betalen...

Op zich is je telefoon veiliger dan de pinautomaat, de kans dat de pinautomaat gemanipuleerd is is groter dan dat jij malware binnen haalt op je telefoon waarmee je betalingen afgeroomd worden.
22-08-2024, 16:42 door Anoniem
Door Anoniem:
Door Anoniem: Ja, daar kon je op wachten natuurlijk. Ik begrijp ook niet waarom je zonodig met je onveilige smartphone moet betalen...

De banken claimen dat het veilig(er) is dan andere bestaande oplossingen.
(Voor hen)

Ga allemaal internet bankieren, dat is veilig zei de bank. Gebruik allemaal de app, dat is veilig zei de bank. Om de dienstverlening te verbeteren sluiten we de loketten, zei de bank. Om het betalingsverkeer veilig te krijgen verhogen we de kosten, zei de bank. De winsten nemen alleen maar toe, zeiden de aandeelhouders en ondertussen wordt alle fraude afgewenteld op de klanten.
22-08-2024, 16:45 door Anoniem
Het slachtoffer moet zelf nogal wat handelingen verrichten voordat de aanvaller geld kan stelen.
Wel slecht dit mogelijk is.
Ik blijf voor de zekerheid maar gewoon de pinpas gebruiken.
22-08-2024, 17:15 door Anoniem
Goh, je gaat betalingen uitvoeren met een apparaat wat totaal onveilig is en mogelijk nog onveiliger wordt door diverse ranzige "apps" die erop geïnstalleerd worden, en nou gaat het mis. Wie had dat nou kunnen bedenken? Het valt me eerder tegen dat het nog zo lang heeft geduurd.
22-08-2024, 22:19 door Anoniem
Door Anoniem:
Door Anoniem: Ja, daar kon je op wachten natuurlijk. Ik begrijp ook niet waarom je zonodig met je onveilige smartphone moet betalen...

De banken claimen dat het veilig(er) is dan andere bestaande oplossingen.
(Voor hen)
Een up2date Linux desktop is veiliger. Wel SELinux enforcen (is default)
23-08-2024, 06:23 door Anoniem
Je moet wel door heel veel hoepels springen, zeg. En ik weet niet hoe het elders geregeld is, maar hier in Nederland krijg je het geld bij belastingteruggave gewoon op je rekening gestort.

En is een smartphone zoveel onveiliger? Ja, bij verkeerd gebruik wel. Maar dat geld voor een auto of gasfornuis ook. En nogmaals: je moet wel veel doen, waaronder allerlei gegevens invullen waarvan je zou moeten weten dat je die niet zomaar moet invullen.
23-08-2024, 09:00 door Anoniem
Het valt me meer en meer op wat een aparte meningen hier worden gespuit.
Begint op een verzamelplek van anti-vaxers en complotdenkers te lijken.
Ongefundeerde kritiek.

U wilt dus allemaal terug naar de tijd dat je geld alleen bij de baliemedewerker kan afhalen, die je dan ook nog persoonlijk moet kennen. Alle andere oplossingen zijn technisch van aard en gevoelig voor hacken/oplichting.

De pinpas met magneetstrip kan worden gekopieerd.
De pinpas met draadloze communicatie is gevoelig voor een man-in-the-middle aanval.
De contactchip is ongeschikt om grootschalig te pinnen, duurt te lang en gevoelig voor slijtage.

Alle nieuwe technieken maken het leven makkelijker, maar brengen ook risico's met zich mee.
De auto bracht ook gemak maar ook meer dodelijke ongevallen.
23-08-2024, 09:10 door Anoniem
Wat een kortzichtigheid weer hier zeg... Alsof een pinpas volledige veiligheid geeft, niemand ooit van skimmen gehoord> Volgens mijn zijn het aantal gevallen van skimmen velen malen hoger, zover ik weet is dit het eerste geval dat malware NFC-verkeer onderschept
23-08-2024, 11:42 door Anoniem
Door Anoniem: Wat een kortzichtigheid weer hier zeg... Alsof een pinpas volledige veiligheid geeft, niemand ooit van skimmen gehoord> Volgens mijn zijn het aantal gevallen van skimmen velen malen hoger, zover ik weet is dit het eerste geval dat malware NFC-verkeer onderschept

Ik denk dat de meeste cash-leipies een vervalst bankbiljet ook niet kunnen herkennen.
Laat staan dat ze de zuiverheid van goud zouden kunnen vaststellen .

Of iets kunnen inbrengen als een sportschool type ze adviseert dat het goed voor ze is om dat geld nu aan hem te geven.

Dat belet ze niet om eindeloos te oreren dat smartphone/pin/bank allemaal een enorm risico zijn en dat ze met papier/cash/goud veel veiliger af zijn.

Zolang als geld (of bezit) bestaat is er fraude, oplichting ,diefstal en roof geweest.
23-08-2024, 19:58 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ja, daar kon je op wachten natuurlijk. Ik begrijp ook niet waarom je zonodig met je onveilige smartphone moet betalen...

De banken claimen dat het veilig(er) is dan andere bestaande oplossingen.
(Voor hen)
Een up2date Linux desktop is veiliger. Wel SELinux enforcen (is default)

totaal niet.

Geen security enclave , alle relevante processen draaien met alle rechten van de ingelogde beheerder=gebruiker ,
en de 'systeembeherende' gebruiker kan met minimale extra moeite untrusted software intstalleren, moet hooguit een paar totaal onbegrijpelijke popups wegklikken (accept new gpg key) en klaar is klara .

Android,ChromeOS en iOS (+ alleen de standaard appstores) zijn gewoon veiliger om aan gebruikers te geven dan welk ander desktop platform dan ook.

Pas als je de boel _laat_ beheren door een erg fanatieke en ook erg capabele beheerder begint het in hooguit in de buurt te komen.

Technerds moeten eens een clue krijgen dat GEBRUIKERSDATA is wat beveiligd moet worden, in plaats van "het systeem".

'gebruikers data exfiltrated/gewist/gecrypt, maar geen root compromise. Niks aan de hand' - dat is teveel de gedachtengang, en dat is helemaal fout.
25-08-2024, 08:30 door Anoniem
Dit gaat helemaal niet over malware bij betalen/pinnen met je Android-smartphone (met Google Pay) maar over het onderscheppen en omleiden van een contactloze betaling/pintransactie met je fysieke betaalpas! Je moet hiervoor je fysieke betaalpas tegen je eigen gehackte Android-smartphone houden. Komt geen Google Pay aan te pas!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.