사이버보안업체 이셋(ESET)은 안드로이드 운영체제에서 실행되는 새로 발견된 악성코드가 감염된 기기의 NFC 리더기를 이용해 결제카드 데이터를 훔쳐 공격자에게 전송하는 방식으로 카드를 효과적으로 복제하는 신기술이라고 밝혔다. ATM이나 POS(Point of Sale)에서.
ESET 연구원들은 다음을 포함하고 있기 때문에 악성코드의 이름을 Ngate로 명명했습니다. NFC 게이트웨이NFC 트래픽을 캡처, 분석 또는 변경하는 오픈 소스 도구입니다. 의 약어 근거리 통신NFC는 두 장치가 근거리에서 무선으로 통신할 수 있도록 하는 프로토콜입니다.
Android의 새로운 공격 시나리오
ESET 연구원 루카스 스테판코(Lukas Stefanko)는 보고서에서 “이것은 안드로이드에 대한 새로운 공격 시나리오이며, 이 기능이 실제로 사용되는 안드로이드 악성코드를 본 것은 처음이다”라고 말했습니다. 동영상 “이 발견은 NGate 악성코드가 손상된 장치를 통해 피해자의 카드에서 공격자의 스마트폰으로 NFC 데이터를 전송할 수 있다는 것을 보여줍니다. 그런 다음 공격자는 카드를 스푸핑하고 ATM에서 돈을 인출할 수 있습니다.”
이 악성코드는 공격자가 대상에게 메시지를 보내고 은행을 사칭하는 단기 도메인이나 Google Play에서 제공되는 공식 모바일 뱅킹 앱에서 NGate를 설치하도록 속이는 등의 전통적인 피싱 시나리오를 통해 설치되었습니다. NGate는 합법적인 Target Bank 앱으로 위장하여 사용자에게 은행의 고객 ID, 생년월일 및 해당 카드 PIN을 입력하라는 메시지를 표시합니다. 앱에서 사용자에게 NFC를 켜고 카드를 스캔하라고 계속 요청합니다.
ESET은 11월부터 체코 은행 3곳을 대상으로 NGate를 사용하는 것을 적발했으며, 당시부터 올해 3월까지 유통된 6개의 별도의 NGate 애플리케이션을 확인했다고 밝혔습니다. 캠페인 후반기에 사용된 앱 중 일부는 프로그레시브 웹 앱(Progressive Web Apps) 형태로 나왔습니다. 프로그레시브 웹 애플리케이션목요일에 보고된 바와 같이 설정(iOS의 경우 필수)으로 인해 비공식 소스에서 사용 가능한 애플리케이션 설치가 차단되는 경우에도 Android 및 iOS 장치에 설치할 수 있습니다.
ESET은 Ngate 캠페인이 3월에 종료된 가장 유력한 이유는 다음과 같다고 밝혔습니다. 체포 체코 경찰은 프라하의 ATM에서 돈을 인출하던 중 마스크를 착용한 22세 남성을 체포했다고 밝혔다. 수사관들은 용의자가 NGate와 관련된 것과 동일해 보이는 계획을 사용하여 “사람들의 돈을 빼앗는 새로운 방법을 만들었다”고 말했습니다.
Stefanko와 동료 ESET 연구원 Jacob Osmani는 공격이 어떻게 작동했는지 설명했습니다.
체코 경찰 발표에 따르면 공격 시나리오는 공격자가 잠재적 피해자에게 은행을 사칭한 피싱 사이트 링크를 포함하여 세금 환급에 대한 SMS 메시지를 보내는 것에서 시작되었다고 밝혔습니다. 이러한 링크는 악성 프로그레시브 웹 애플리케이션으로 이어질 가능성이 높습니다. 피해자가 앱을 설치하고 자신의 자격 증명을 입력하면 공격자는 피해자의 계정에 접근할 수 있게 되었습니다. 이후 가해자는 은행 직원으로 가장해 피해자에게 전화를 걸었다. 피해자는 이전 문자 메시지로 인해 자신의 계정이 해킹당했다는 통보를 받았습니다. 공격자는 실제로 진실을 말하고 있었습니다. 피해자의 계정이 해킹당했지만 그 진실은 또 다른 거짓말로 이어졌습니다.
피해자는 돈을 보호하기 위해 PIN을 변경하고 모바일 앱인 NGate 악성 코드를 사용하여 은행 카드를 확인하라는 요청을 받았습니다. NGate 다운로드 링크가 SMS를 통해 전송되었습니다. 우리는 피해자들이 Ngate 앱 내에서 기존 PIN을 입력하여 새 PIN을 만들고, 변경 사항을 확인하거나 적용하기 위해 스마트폰 뒷면에 카드를 대고 있었던 것으로 의심합니다.
공격자는 이미 손상된 계정에 접근할 수 있었기 때문에 출금 한도를 변경할 수 있었습니다. NFC 전달 방법이 작동하지 않으면 간단히 다른 계좌로 돈을 이체할 수 있습니다. 그러나 NGate를 사용하면 공격자가 공격자의 은행 계좌에 대한 흔적을 남기지 않고 피해자의 자금에 더 쉽게 접근할 수 있습니다. 공격 순서의 다이어그램은 그림 6에 나와 있습니다.
연구원들은 NGate 또는 이와 유사한 앱을 다른 목적으로 사용되는 일부 스마트 카드를 복제하는 등 다른 시나리오에서 사용할 수 있다고 말했습니다. 공격은 NFC 태그의 고유 식별자(UID로 약칭)를 복사하는 방식으로 작동합니다.
“테스트 중에 우리는 일반적으로 대중 교통 티켓, ID 배지, 멤버십 또는 학생 카드 및 유사한 사용 사례에 사용되는 MIFARE Classic 1K 태그의 고유 사용자 식별자를 성공적으로 전송했습니다.”라고 연구원은 썼습니다. “NFCGate를 사용하면 그림 7과 같이 NFC 전송 공격을 수행하여 한 위치에서 NFC 코드를 읽고 실시간으로 고유 사용자 ID를 스푸핑하여 다른 위치에 있는 건물에 액세스할 수 있습니다.”
복제 작업은 공격자가 물리적으로 카드에 접근할 수 있거나 핸드백, 지갑, 백팩 또는 카드가 들어 있는 스마트폰 케이스에 있는 카드를 잠깐 읽을 수 있는 상황에서 발생할 수 있습니다. 이러한 공격을 수행하고 시뮬레이션하려면 공격자는 루팅된 맞춤 Android 기기가 필요합니다. Ngate 바이러스에 감염된 휴대폰에는 이러한 증상이 나타나지 않았습니다.