Un nouveau logiciel malveillant sur Android, récemment découvert, vole les données de carte de paiement en utilisant le lecteur NFC d’un appareil infecté et les transmet aux attaquants, une technique novatrice qui clone efficacement la carte afin qu’elle puisse être utilisée dans des distributeurs automatiques ou des terminaux de point de vente, selon la société de sécurité ESET.
Les chercheurs d’ESET ont nommé ce malware NGate car il utilise NFCGate, un outil open source permettant de capturer, d’analyser ou de modifier le trafic NFC. NFC, pour Communication en Champ Proche, est un protocole qui permet à deux dispositifs de communiquer sans fil sur de courtes distances.
Nouveau scénario d’attaque sur Android
« Il s’agit d’un nouveau scénario d’attaque sur Android, et c’est la première fois que nous voyons un logiciel malveillant Android avec cette capacité utilisé dans la nature », a déclaré Lukas Stefanko, chercheur chez ESET, dans une vidéo présentant cette découverte. « Le malware NGate peut relayer des données NFC à partir de la carte d’une victime à travers un appareil compromis vers le smartphone d’un attaquant, qui peut alors émuler la carte et retirer de l’argent dans un distributeur automatique. »
Le logiciel malveillant a été installé à travers des scénarios de phishing traditionnels, tels que l’envoi de messages par l’attaquant pour tromper les cibles en leur faisant installer NGate depuis des domaines éphémères prétendant être des banques ou des applications bancaires mobiles officielles disponibles sur Google Play. Se faisant passer pour une application légitime de la banque ciblée, NGate invite l’utilisateur à entrer l’ID client bancaire, sa date de naissance et le code PIN correspondant à la carte. L’application demande ensuite à l’utilisateur d’activer le NFC et de scanner la carte.
ESET a déclaré avoir découvert NGate utilisé contre trois banques tchèques à partir de novembre et a identifié six applications NGate distinctes circulant entre cette période et mars de l’année en cours. Certaines des applications utilisées dans les mois suivants ont pris la forme de PWA, abréviation de Progressive Web Apps, qui, comme rapporté jeudi, peuvent être installées sur des appareils Android et iOS même lorsque les paramètres (obligatoires sur iOS) empêchent l’installation d’applications provenant de sources non officielles.
La raison la plus probable pour laquelle la campagne NGate a pris fin en mars, selon ESET, est l’arrestation par la police tchèque d’un jeune homme de 22 ans, qu’ils ont attrapé portant un masque tout en retirant de l’argent des distributeurs automatiques à Prague. Les enquêteurs ont déclaré que le suspect avait « conçu une nouvelle manière de soutirer de l’argent aux gens » en utilisant un stratagème semblable à celui impliquant NGate.
Stefanko et son collègue Jakub Osmani chez ESET ont expliqué comment l’attaque fonctionnait :
Le communiqué de la police tchèque a révélé que le scénario d’attaque commençait par des messages SMS envoyés par les attaquants à des victimes potentielles concernant un remboursement d’impôt, incluant un lien vers un site de phishing se faisant passer pour des banques. Ces liens menaient très probablement à des PWA malveillantes. Une fois que la victime a installé l’application et saisi ses informations d’identification, l’attaquant accède au compte de la victime. Ensuite, l’attaquant appelle la victime en se faisant passer pour un employé de la banque. La victime est informée que son compte a été compromis, probablement à cause du message texte précédent. L’attaquant disait en réalité la vérité – le compte de la victime était compromis, mais cette vérité a ensuite mené à un autre mensonge.
Pour « protéger » leurs fonds, la victime était invitée à changer son code PIN et à vérifier sa carte bancaire en utilisant une application mobile – le malware NGate. Un lien pour télécharger NGate était envoyé par SMS. Nous soupçonnons qu’à travers l’application NGate, les victimes saisissaient leur ancien code PIN pour en créer un nouveau et plaçaient leur carte à l’arrière de leur smartphone pour vérifier ou appliquer la modification.
Puisque l’attaquant avait déjà accès au compte compromis, il pouvait changer les limites de retrait. Si la méthode de relais NFC ne fonctionnait pas, il pouvait simplement transférer les fonds vers un autre compte. Cependant, en utilisant NGate, l’attaquant pouvait accéder aux fonds de la victime sans laisser de traces vers son propre compte bancaire. Un schéma du séquence d’attaque est montré en Figure 6.
Les chercheurs ont déclaré que NGate ou des applications similaires pourraient être utilisées dans d’autres scénarios, comme le clonage de certaines cartes intelligentes utilisées à d’autres fins. L’attaque fonctionnerait en copiant l’ID unique de l’étiquette NFC, abrégé en UID.
« Lors de nos tests, nous avons réussi à relayer l’UID d’une étiquette MIFARE Classic 1K, qui est généralement utilisée pour des billets de transport public, des badges d’identification, des cartes de membre ou d’étudiant, et des cas d’utilisation similaires », ont écrit les chercheurs. « Avec NFCGate, il est possible de réaliser une attaque de relais NFC pour lire un jeton NFC à un endroit et, en temps réel, accéder à des locaux à un autre endroit en émulent son UID, comme le montre la Figure 7. »
Le clonage pourrait se produire dans des situations où l’attaquant a un accès physique à une carte ou peut lire brièvement une carte dans des sacs à main, des portefeuilles, des sacs à dos ou des coques de smartphones contenant des cartes. Pour mener et émuler de telles attaques, l’attaquant doit posséder un appareil Android rooté et personnalisé. Les téléphones infectés par NGate n’avaient pas cette exigence.
En tant que journaliste, il est essentiel de rester vigilant face à l’évolution constante des cybermenaces. L’ampleur et la sophistication des attaques comme celles-ci montrent à quel point il est crucial de sensibiliser le public sur la protection de ses données personnelles. Dans un monde où la technologie et la sécurité se croisent, nous avons tous un rôle à jouer pour s’assurer que nos informations restent en sécurité.