Un malware Android récemment découvert vole les données de carte de paiement à l’aide du lecteur NFC d’un appareil infecté et les transmet aux attaquants, une nouvelle technique qui clone efficacement la carte afin qu’elle puisse être utilisée dans les distributeurs automatiques de billets ou les terminaux de point de vente, a déclaré la société de sécurité ESET.
Les chercheurs d’ESET ont baptisé le malware NGate car il intègre NFCGate, un outil open source permettant de capturer, d’analyser ou de modifier le trafic NFC. Abréviation de Near-Field Communication, NFC est un protocole qui permet à deux appareils de communiquer sans fil sur de courtes distances.
Nouveau scénario d’attaque Android
« Il s’agit d’un nouveau scénario d’attaque sur Android, et c’est la première fois que nous voyons un malware Android doté de cette capacité être utilisé dans la nature », a déclaré Lukas Stefanko, chercheur à l’ESET, dans une vidéo illustrant la découverte. « Le malware NGate peut relayer les données NFC de la carte d’une victime via un appareil compromis vers le smartphone d’un attaquant, qui est alors capable d’émuler la carte et de retirer de l’argent à un distributeur automatique. »
Lukas Stefanko—Démasquer NGate.
Le malware a été installé via des scénarios de phishing traditionnels, par exemple en envoyant des messages aux cibles et en les incitant à installer NGate à partir de domaines éphémères qui se faisaient passer pour des banques ou des applications bancaires mobiles officielles disponibles sur Google Play. Se faisant passer pour une application légitime de la banque d’une cible, NGate invite l’utilisateur à saisir l’identifiant client de la banque, la date de naissance et le code PIN correspondant à la carte. L’application demande ensuite à l’utilisateur d’activer la technologie NFC et de scanner la carte.
ESET a déclaré avoir découvert que NGate avait été utilisé contre trois banques tchèques à partir de novembre et avoir identifié six applications NGate distinctes circulant depuis des sources autres que Google Play entre cette date et mars de cette année. Certaines des applications utilisées au cours des derniers mois de la campagne se présentaient sous la forme de PWA (Progressive Web Apps), qui, comme indiqué jeudi, peuvent être installées sur des appareils Android et iOS même lorsque les paramètres (obligatoires sur iOS) empêchent l’installation d’applications disponibles à partir de sources non officielles.
La raison la plus probable de la fin de la campagne NGate en mars, selon ESET, est l’arrestation par la police tchèque d’un jeune homme de 22 ans qui, selon eux, portait un masque alors qu’il retirait de l’argent aux distributeurs automatiques de billets de Prague. Les enquêteurs ont déclaré que le suspect avait « imaginé une nouvelle façon d’escroquer les gens » en utilisant un stratagème qui semble identique à celui impliquant NGate.
Stefanko et son collègue chercheur d’ESET, Jakub Osmani, ont expliqué le fonctionnement de l’attaque :
L’annonce de la police tchèque a révélé que le scénario de l’attaque a commencé avec l’envoi par les attaquants de SMS à des victimes potentielles concernant une déclaration d’impôts, comprenant un lien vers un site Web de phishing se faisant passer pour des banques. Ces liens ont très probablement conduit à des PWA malveillantes. Une fois que la victime a installé l’application et saisi ses identifiants, l’attaquant a eu accès à son compte. Il a ensuite appelé la victime en se faisant passer pour un employé de banque. La victime a été informée que son compte avait été compromis, probablement en raison du SMS précédent. L’attaquant disait en fait la vérité : le compte de la victime était compromis, mais cette vérité a ensuite conduit à un autre mensonge.
Pour « protéger » leurs fonds, la victime était invitée à modifier son code PIN et à vérifier sa carte bancaire à l’aide d’une application mobile – le malware NGate. Un lien pour télécharger NGate était envoyé par SMS. Nous soupçonnons que dans l’application NGate, les victimes saisissaient leur ancien code PIN pour en créer un nouveau et plaçaient leur carte au dos de leur smartphone pour vérifier ou appliquer le changement.
L’attaquant ayant déjà accès au compte compromis, il pouvait modifier les limites de retrait. Si la méthode de relais NFC ne fonctionnait pas, il pouvait simplement transférer les fonds vers un autre compte. Cependant, l’utilisation de NGate permet à l’attaquant d’accéder plus facilement aux fonds de la victime sans laisser de traces sur son propre compte bancaire. Un diagramme de la séquence d’attaque est présenté dans la figure 6.
Agrandir / Présentation de l’attaque NGate.
ESET
Les chercheurs ont déclaré que NGate ou des applications similaires pourraient être utilisées dans d’autres scénarios, comme le clonage de certaines cartes à puce utilisées à d’autres fins. L’attaque fonctionnerait en copiant l’identifiant unique de l’étiquette NFC, abrégé en UID.
« Au cours de nos tests, nous avons réussi à relayer l’UID d’une étiquette MIFARE Classic 1K, qui est généralement utilisée pour les tickets de transport public, les badges d’identification, les cartes de membre ou d’étudiant et d’autres cas d’utilisation similaires », ont écrit les chercheurs. « Grâce à NFCGate, il est possible d’effectuer une attaque de relais NFC pour lire un jeton NFC à un endroit et, en temps réel, accéder à des locaux à un autre endroit en émulant son UID, comme le montre la figure 7. »
Agrandir / Figure 7. Smartphone Android (à droite) qui lit et transmet l’UID d’un jeton NFC externe à un autre appareil (à gauche).
ESET
Le clonage peut se produire dans des situations où l’attaquant a un accès physique à une carte ou est capable de lire brièvement une carte dans des sacs à main, des portefeuilles, des sacs à dos ou des étuis de smartphone sans surveillance contenant des cartes. Pour effectuer et émuler de telles attaques, l’attaquant doit disposer d’un appareil Android rooté et personnalisé. Les téléphones infectés par NGate n’avaient pas cette exigence.
Un représentant de Google a écrit dans un e-mail : « D’après nos détections actuelles, aucune application contenant ce malware n’a été trouvée sur Google Play. Les utilisateurs d’Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect, qui est activé par défaut sur les appareils Android équipés des services Google Play. Google Play Protect peut avertir les utilisateurs ou bloquer les applications connues pour présenter un comportement malveillant, même lorsque ces applications proviennent de sources extérieures à Play. »
