🤑 Помогу задонатить

Недавно нам на исследование поступил экземпляр вредоносного приложения, с помощью которого у пользователей Android похищают деньги (скриншот 1). В 2015 году студенты Дармштадтского технического университета создали приложение NFCGate для отладки протоколов передачи NFC-данных. Злоумышленники модифицировали данное приложение и стали использовать его в своих целях.

В этом году число атак с помощью NFC-технологии многократно увеличилось. Если раньше злоумышленники звонили пользователям и писали им в мессенджеры, теперь они находят своих жертв в чатах игр для детей.

Мошенническая схема выглядит следующим образом:

1️⃣ Ребенку в чате мобильной игры пишет неизвестный, общается и внедряется к нему в доверие.

2️⃣ Он сообщает ребенку о том, что можно бесплатно получить игровую валюту, если он установит на телефон мобильное приложение.

3️⃣ При открытии приложение запрашивает разрешение на установку в качестве основного приложения для NFC-платежей.

4️⃣ Злоумышленник сообщает ребенку о том, что транзакция не прошла и Центральный банк может заблокировать карту и доступ ко всем деньгам на счете.

5️⃣ Для того чтобы этого не произошло, ребенку нужно снять в банкомате все наличные и положить их на его банковскую карту, которую ребенку помогли открыть мошенники. При этом все «безопасно», ведь телефон находится в руках.

6️⃣ После того как ребенок подносит телефон к банкомату, ему сообщают новый пин-код от карты и требуют внести деньги на счет.

7️⃣ Происходит зачисление денег на карту мошенника, после чего злоумышленник через серию переводов самому себе на счета в разных банках уводит похищенные деньги.

Технические особенности

Для работы приложение запрашивает 3 разрешения:

➖ NFC — для доступа к системе оплаты по NFC;
➖ ACCESS_NETWORK_STATE — для проверки сетевого доступа;
➖ INTERNET — для подключения через WebSocket.

В манифесте приложения 3 активности:

➖ MainActivity;
➖ CardActivity (имя активности — PAYpunto 🤖);
➖ CardHostApduService.

Приложение функционирует по следующему алгоритму:

1️⃣ В MainActivity осуществляется проверка доступности интернета. Если доступа нет, выводится сообщение: «Ошибка: нет подключения к интернету».

2️⃣ Приложение переходит к CardActivity, в которой осуществляется открытие index.html (скриншот 2). С помощью WebSocket устанавливается соединение с сервером управления, адрес которого прописан в connection.json (скриншот 3). Для защищенного соединения используется сертификат сервера из ресурсов приложения — server.pem. Если в процессе подключения к серверу произошла ошибка, подключение осуществляется по другому порту: wss://default-server-url:7000 (скриншот 4).

3️⃣ Общение банкомата с сервером управления реализовано в CardHostApduService. При подключении телефона к банкомату он отправляет APDU-команды приложению. Далее осуществляется проверка доступности подключения к серверу управления. Если он доступен, формируется JSON и отправляется на сервер управления (скриншот 5).

4️⃣ Ожидается ответ от сервера. Пользователю при этом выводится информация: «Пожалуйста, подождите, ваша карта находится в процессе активации».

5️⃣ Если сервер недоступен или ответ не поступает более 10 секунд, команды кэшируются и поступают в очередь.

6️⃣ После чего команды транслируются банкомату.

7️⃣ Банкомат воспринимает приложение как реальную банковскую карту и производит выполнение APDU-команд, поступивших от сервера управления.

Как защититься от таких атак:

1. Устанавливайте приложения из доверенных источников: официальных магазинов приложений и сайтов производителей.

2. При установке приложений будьте внимательны к запрашиваемым разрешениям, в особенности к системе оплаты NFC, доступу к интернету, СМС-сообщениям.

3. Используйте антивирусные решения.

4. На устройствах детей пользуйтесь средствами родительского контроля для ограничения установки приложений.

5. Помните: приложение Центрального банка России не предназначено для выполнения NFC-платежей и выглядит иначе (скриншот 6).

#dfir #mobile
@ptescalator