มัลแวร์ NGate สายพันธุ์ใหม่ที่ขโมยข้อมูลการชำระเงินผ่าน NFC กำลังมุ่งเป้าการโจมตีไปยังผู้ใช้งานระบบ Android โดยทำการซ่อนตัวอยู่ในแอปพลิเคชันที่ชื่อ HandyPay ซึ่งเป็นเครื่องมือประมวลผลการชำระเงินบนมือถือที่ถูกต้อง แต่ถูกนำมาดัดแปลงเพื่อฝังมัลแวร์ (more…)

พบแพลตฟอร์ม malware-as-a-service (MaaS) ใหม่ที่ชื่อว่า 'SuperCard X' โดยมีเป้าหมายโจมตีอุปกรณ์ Android ผ่านการโจมตีแบบ NFC Relay ซึ่งช่วยให้สามารถทำธุรกรรมที่ point-of-sale และตู้ ATM โดยใช้ข้อมูลบัตรที่ถูกขโมยมา

SuperCard X เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีน และมีลักษณะโค้ดที่คล้ายคลึงกับโปรเจกต์โอเพ่นซอร์ส NFCGate รวมถึงเวอร์ชันที่พัฒนาจากโปรเจกต์ดังกล่าวอย่าง NGate ซึ่งมีส่วนในการโจมตีในยุโรปตั้งแต่ปีที่แล้ว

แพลตฟอร์ม malware-as-a-service นี้ถูกโปรโมตผ่านช่องทาง Telegram ซึ่งยังมีการเสนอการสนับสนุนโดยตรงแก่ลูกค้า

SuperCard X ถูกพบโดยบริษัทด้านความปลอดภัยบนมือถือ Cleafy ซึ่งรายงานว่าได้พบการโจมตีที่ใช้มัลแวร์ Android นี้ในอิตาลี การโจมตีเหล่านี้ประกอบด้วยตัวอย่างมัลแวร์หลายตัวที่มีความแตกต่างกันเล็กน้อย ซึ่งแสดงให้เห็นว่าผู้ร่วมงานสามารถเลือกสร้างเวอร์ชันที่ปรับแต่งตามความต้องการเฉพาะของภูมิภาค หรือความต้องการอื่น ๆ ได้

การโจมตีของ SuperCard X ดำเนินไปอย่างไร

การโจมตีเริ่มต้นจากเหยื่อได้รับข้อความ SMS หรือ WhatsApp ปลอม ที่แอบอ้างว่าเป็นธนาคารของตน โดยอ้างว่ามีธุรกรรมที่น่าสงสัยเกิดขึ้น และขอให้เหยื่อติดต่อกลับผ่านหมายเลขโทรศัพท์เพื่อแก้ไขปัญหา

เมื่อเหยื่อติดต่อไปตามหมายเลขดังกล่าว จะมีมิจฉาชีพรับสายโดยแสร้งทำตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนของธนาคาร จากนั้นจะใช้วิธีการ social engineering เพื่อหลอกให้เหยื่อยืนยันหมายเลขบัตร และรหัส PIN หลังจากนั้นจะพยายามโน้มน้าวให้ผู้ใช้ยกเลิกการจำกัดวงเงินใช้จ่ายผ่านแอปธนาคารของตน

ในขั้นตอนสุดท้าย ผู้ไม่หวังดีจะหลอกให้เหยื่อติดตั้งแอปอันตรายที่ชื่อว่า "Reader" ซึ่งถูกปลอมแปลงให้ดูเหมือนเป็นเครื่องมือด้านความปลอดภัย หรือการยืนยันตัวตน โดยภายในแอปนั้นแฝงมัลแวร์ SuperCard X เอาไว้

เมื่อผู้ใช้ติดตั้งแอป Reader แอปจะร้องขอสิทธิ์การเข้าถึงเพียงเล็กน้อย โดยส่วนใหญ่จะขอสิทธิ์ในการเข้าถึงโมดูล NFC ซึ่งเพียงพอสำหรับการขโมยข้อมูล

มิจฉาชีพจะสั่งให้เหยื่อนำบัตรชำระเงินมาแตะกับโทรศัพท์ของตนเองเพื่อยืนยันบัตร ซึ่งทำให้มัลแวร์สามารถอ่านข้อมูลจากชิปบนบัตร และส่งข้อมูลนั้นไปยังผู้โจมตี

จากนั้นผู้โจมตีจะรับข้อมูลดังกล่าวไว้ในอุปกรณ์ Android ของตน โดยใช้งานแอปอีกตัวที่ชื่อว่า Tapper ซึ่งทำหน้าที่จำลองการทำงานของบัตรเหยื่อด้วยข้อมูลที่ถูกขโมยมา

บัตรที่ถูกจำลองโดยผู้โจมตีสามารถใช้ชำระเงินแบบ contactless ตามร้านค้า หรือถอนเงินจากตู้ ATM ได้ แม้จะมีข้อจำกัดด้านวงเงิน โดยธุรกรรมเหล่านี้มักมีมูลค่าไม่สูง และดำเนินการได้ทันที ทำให้ดูเหมือนเป็นธุรกรรมปกติ จึงยากต่อการตรวจจับ และยกเลิกโดยธนาคาร

มัลแวร์หลบเลี่ยงการตรวจจับได้

Cleafy ระบุว่า ปัจจุบัน SuperCard X ยังไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสใด ๆ บน VirusTotal และการที่แอปไม่มีการขอสิทธิ์ที่เสี่ยง หรือฟีเจอร์ที่เป็นการโจมตีที่ชัดเจน เช่น การทับซ้อนหน้าจอ (screen overlaying) ทำให้มันสามารถหลบเลี่ยงการตรวจจับจากการสแกนพฤติกรรม (heuristic scans) ได้อย่างมีประสิทธิภาพ

การจำลองบัตรนั้นใช้เทคโนโลยี ATR-based (Answer to Reset) ซึ่งทำให้บัตรดูเหมือนจริง และสามารถทำงานร่วมกับเครื่องชำระเงินได้ นอกจากนี้ยังสะท้อนให้เห็นถึงความชำนาญทางเทคนิค และความเข้าใจในโปรโตคอลของสมาร์ตการ์ดอีกด้วย

อีกหนึ่งแง่มุมทางเทคนิคที่สำคัญคือการใช้ mutual TLS (mTLS) สำหรับการยืนยันตัวตนระหว่างไคลเอนต์ และเซิร์ฟเวอร์ที่ใช้ certificate-based ซึ่งช่วยป้องกันการเชื่อมต่อกับ C2 จากการ interception และการวิเคราะห์จากนักวิจัย หรือเจ้าหน้าที่ทางกฎหมาย

BleepingComputer ได้ติดต่อไปยัง Google เพื่อขอความคิดเห็นเกี่ยวกับกิจกรรมของ SuperCard X และโฆษกของ Google ได้ระบุคำแถลงการณ์ดังนี้:

“จากการตรวจสอบปัจจุบันของเรา ยังไม่พบแอปพลิเคชันที่มีมัลแวร์นี้อยู่บน Google Play ผู้ใช้ Android จะได้รับการปกป้องโดยอัตโนมัติจาก Google Play Protect ซึ่งเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถเตือนผู้ใช้หรือบล็อกแอปที่มีพฤติกรรมเป็นอันตราย แม้ว่าแอปเหล่านั้นจะมาจากแหล่งภายนอก Google Play ก็ตาม”

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัยของอังกฤษได้พิสูจน์การสร้างการ์ดแถบแม่เหล็ก (Magstripe) โดยใช้รายละเอียดที่พบในการ์ดโมเดล Chip-and-PIN (EMV) และการ์ด Contactless Cards เพื่อทำการโคลนข้อมูลการ์ดสำหรับทำการละเมิดทางการเงิน

Galloway หัวหน้าฝ่ายวิจัยความปลอดภัยเชิงพาณิชย์จากห้องปฏิบัติการวิจัยและพัฒนาของ Cyber R&D Lab ได้เปิดเผยถึงการทดสอบเทคโนโลยีการ์ดที่ใช้ทำธุรกรรมทางการเงินจาก 11 ธนาคาร โดยมาจากธนาคารในประเทศสหรัฐอเมริกา, สหราชอาณาจักรและสหภาพยุโรป ซึ่ง Galloway ค้นพบว่าการ์ดของ 4 ธนาคารจาก 11 ธนาคารที่ทำการทดสอบนั้นใช้การ์ดโมเดล Chip-and-PIN (EMV) ซึ่งสามารถทำการโคลนข้อมูลไปสู่การ์ด Magstripe ได้และอาจนำไปใช้ในการละเมิดธุรกรรมทางการเงิน

Galloway ได้อธิบายต่อว่าการทำธุรกรรมด้วยการ์ดโมเดล Chip-and-PIN (EMV) และการ์ด Contactless Cards นั้นยังไม่ถือว่ามีความปลอดภัยในปัจจุบันเนื่องจากว่า ในทางปฏิบัตินั้นผู้ประสงค์ร้ายยังสามารถทำการโคลนการ์ดโมเดล EMV ได้ ถึงเเม้ว่าเทคโนโลยีการชำระเงินด้วยการ์ดจะพัฒนาไปมากแต่หลายๆ ประเทศในภูมิภาคต่างๆ ของทั่วโลกยังสนับสนุนการชำระเงินด้วยการ์ดเทคโนโลยี Magstrip ในการใช้ทำธุรกรรมการเงิน

ทั้งนี้ผู้ใช้งานบัตรเคดิตหรือบัตรต่างๆ ที่ใช้ทำธุรกรรมทางการเงินควรทำการระมัดระวังในการใช้งานและหมั่นตรวจสอบ เมื่อพบยอดชำระที่ผิดปกติควรรีบทำการติดต่อธนาคารที่ท่านใช้งานอย่างเร่งด่วน เพื่อป้องกันผู้ประสงค์ร้ายทำการละเมิดบัญชีธุรกรรมการเงินของท่าน

ที่มา: zdnet.