Sikkerhetsforskere har avdekket en ny NFCShare-kampanje som retter seg mot Android-brukere gjennom falske oppdateringer av bankapper som distribueres via GitHub. Operasjonen utgir seg for å representere legitime banker og finansinstitusjoner og lurer ofre til å installere skadelige apper som stjeler betalingskortdata og muliggjør svindeltransaksjoner.
Forskerne opplyser at kampanjen har vokst betydelig de siste månedene og retter seg mot kunder hos flere banker rundt om i Europa. Angriperne baserer seg hovedsakelig på sosial manipulering fremfor programvaresårbarheter, noe som gjør brukernes handlinger til en avgjørende del av angrepet.
Angripere utgir skadevare som bankoppdateringer
Kampanjen starter med phishingmeldinger som leder ofrene til nettsteder som etterligner legitime banker. På disse sidene hevder angriperne at brukeren må installere en sikkerhetsoppdatering, bekrefte identiteten sin eller oppdatere bankappen.
I stedet for å laste ned en legitim applikasjon installerer offeret en skadelig Android-pakke som er lagret på GitHub. Fordi GitHub er en kjent og betrodd plattform, kan enkelte brukere oppfatte nedlastingen som legitim og overse faresignalene.
Etter installasjonen ber skadevaren om tillatelser som gjør det mulig å utføre den svindelrelaterte aktiviteten og kommunisere med angripernes infrastruktur.
Skadevaren misbruker NFC-teknologi
I motsetning til tradisjonelle banktrojanere som fokuserer på å stjele innloggingsopplysninger, retter NFCShare seg mot betalingskortinformasjon.
Skadevaren instruerer ofrene til å plassere betalingskortet mot baksiden av Android-enheten. Ved hjelp av telefonens NFC-funksjon kan den skadelige appen lese data direkte fra kortets brikke.
Applikasjonen ber deretter brukeren om å oppgi PIN-koden under påskudd av at en verifiseringsprosess må fullføres. Når angriperne har fått tak i både kortdata og PIN-kode, kan de bruke informasjonen i NFC-reléangrep og andre former for betalingssvindel.
Forskerne opplyser at skadevaren sender den innsamlede informasjonen til servere kontrollert av trusselaktørene, noe som gjør det mulig å misbruke de stjålne opplysningene nesten umiddelbart.
Kampanjen retter seg mot flere banker
Forskerne observerte at skadevaren rettet seg mot kunder hos en rekke finansinstitusjoner i stedet for å fokusere på én enkelt bank. Denne tilnærmingen øker antallet potensielle ofre og gjør det mulig for angriperne å skalere operasjonen på tvers av flere land.
Angriperne oppretter kontinuerlig nye phishingsider og skadelige apper for å holde kampanjen aktiv. Ved å lagre APK-filene på GitHub oppnår de også en grad av troverdighet som hjelper dem med å lure brukere til å installere skadevaren.
Kampanjen viser hvordan cyberkriminelle fortsetter å kombinere phishingteknikker med mobil skadevare for å rette seg mot bankkunder.
Forskere advarer Android-brukere
Sikkerhetseksperter anbefaler at brukere kun installerer apper fra offisielle appbutikker og unngår bankoppdateringer som distribueres via lenker i e-poster, tekstmeldinger eller meldingsplattformer.
Brukere bør også være svært forsiktige med forespørsler om å skanne et betalingskort eller oppgi en PIN-kode. Legitime banker krever sjelden at kunder gjennomfører verifisering gjennom tredjepartsapper på Android.
Å gjennomgå apptillatelser før installasjon og aktivere mobile sikkerhetsfunksjoner kan også redusere risikoen for infeksjon.
Konklusjon
Den nyeste NFCShare-kampanjen viser hvordan angripere fortsetter å utvikle mobile banktrusler for å omgå tradisjonelle sikkerhetstiltak. Ved å kamuflere skadevare som bankoppdateringer og misbruke NFC-teknologi har trusselaktørene skapt en effektiv metode for å stjele betalingskortinformasjon.
Etter hvert som kampanjen sprer seg i Europa, bør Android-brukere være ekstra forsiktige med uventede bankvarsler og kun laste ned apper fra pålitelige kilder.
0 responses to “NFCShare-skadevare sprer seg via falske oppdateringer av bankapper”