Malware leitet NFC-Datenverkehr weiter, um Bargeld zu stehlen
Eset-Forschende haben eine neue Android-Malware entdeckt, die es Kriminellen ermöglicht, Bargeld von Geldautomaten zu stehlen. Dabei lesen sie NFC-Daten von Zahlungskarten über kompromittierte Smartphones aus. Die Angreifer missbrauchen dafür ein eigentlich für legitime Zwecke entwickeltes Tool.
Eset-Forschende haben eine Cybercrime-Kampagne aufgedeckt, die Kunden von drei tschechischen Banken ins Visier nahm. Die eingesetzte Malware namens NGate kann die Daten von Zahlungskarten, inklusive PIN der Opfer, über eine bösartige App, die auf ihren Android-Geräten installiert wurde, an das gerootete Android-Telefon des Angreifers übermitteln. Wie die Security-Forschenden in einem Blogbeitrag schreiben, sei das Hauptziel dieser Kampagne, unautorisierte Geldabhebungen von Geldautomaten aus den Bankkonten der Opfer zu ermöglichen.
Dafür wurden NFC-Daten von den physischen Zahlungskarten der Opfer über ihre kompromittierten Android-Smartphones mithilfe der NGate Android-Malware ans Gerät des Angreifers weitergeleitet. Der Angreifer nutzte diese Daten dann, um Transaktionen am Geldautomaten durchzuführen. Wenn diese Methode scheiterte, hatten die Angreifer einen Plan B, bei dem sie Gelder von den Konten der Opfer auf andere Bankkonten übertrugen, wie es weiter heisst.
Technik aus Deutschland
"Wir haben diese neuartige NFC-Relais-Technik bisher bei keiner anderen Android-Malware gesehen. Die Technik basiert auf einem Tool namens NFCGate, das von Studenten der Technischen Universität Darmstadt entwickelt wurde, um NFC-Verkehr zu erfassen, zu analysieren oder zu verändern. Daher haben wir diese neue Malware-Familie NGate genannt", erklärt Lukáš Štefanko, Malware Researcher bei Eset.
Die Betrüger nutzen eine Kombination aus Social Engineering und Phishing, um an persönliche Informationen zu gelangen. In diesem Fall erhielten die Opfer eine SMS, die angeblich von ihrer Bank stammte und sie aufforderte, eine App herunterzuladen, um ein angebliches Problem mit ihrem Konto zu beheben.
Nachdem die Opfer diese App auf ihrem Android-Smartphone installiert hatten, wurde ihr Gerät von der NGate-Malware infiziert. Diese Malware kann Daten von NFC-fähigen Bankkarten auslesen und an die Angreifer weiterleiten. Mit diesen Daten können die Kriminellen dann Geld an einem Geldautomaten abheben, als hätten sie die Karte selbst in der Hand. Sogar die PIN kann über diese Schad-App erbeutet werden.
Vor allem tschechische Karten betroffen
Bisher sind vor allem Kunden von drei grossen tschechischen Banken betroffen. Eset entdeckte die NGate-Malware erstmals im November 2023. Die Angreifer verschickten ihre gefälschten Nachrichten an zufällig ausgewählte Mobilfunknummern in Tschechien.
NFC ist eine Technologie, die es ermöglicht, Daten über kurze Distanzen drahtlos zu übertragen. Sie wird häufig für kontaktloses Bezahlen mit Bankkarten genutzt. Wenn Sie Ihre Karte einfach über das Lesegerät an der Kasse halten, überträgt die NFC-Technologie die Zahlungsinformationen. In diesem Fall nutzten die Betrüger diese Technologie, um die Zahlungsdaten zu stehlen und auf ihren eigenen Geräten zu nutzen.
Um sich vor solchen Angriffen zu schützen, rät Eset zu folgenden Vorsichtsmassnahmen:
- Öffnen Sie keine Links oder laden Sie keine Apps herunter, die Sie per SMS oder E-Mail erhalten, ohne die Echtheit zu prüfen.
- Laden Sie Apps nur aus offiziellen App-Stores wie dem Google Play Store herunter.
- Halten Sie ihre PIN-Codes geheim und teilen Sie sie niemals per Nachricht mit.
- Verwenden Sie Sicherheits-Apps, die ihr Smartphone vor Schadsoftware schützen.
- Deaktivieren Sie die NFC-Funktion ihres Smartphones, wenn Sie sie nicht benötigen, um den unbefugten Zugriff auf ihre Karten zu verhindern.
Bankdaten sind oftmals das Zeil von Cyberkriminellen. In einer neuen Masche setzen Sie dabei auf Progressive Web Apps (PWAs) um echte Banking-Apps zu imitieren und so Login-Daten abzugreifen. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.