[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp

[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp

#CODE BLUE
#CODE BLUE 2024
#セキュリティ
吉本明人

吉本明人

facebook logohatena logotwitter logo
Clock Icon2024.11.15

危機管理室の吉本です。

CODE BLUE 2024の以下のセッションについてレポートをまとめます。

NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア

NFCリレー攻撃は理論上は何年も前から議論されてきたが、実際の成功例は依然として稀である。今回紹介するのは、2024年初頭にチェコで被害者から数千ドルを盗んだ、NFCリレー攻撃を利用してリモートATM引き出しを実行した最初の公に知られるイン・ザ・ワイルド(インターネットに放たれた)のAndroidマルウェア「NGate」である。この攻撃には、ソーシャルエンジニアリングやフィッシングの手口も利用されていた。

この攻撃は2023年11月にチェコで始まり、当初はプログレッシブWebアプリ(PWA)を利用した。PWAは本質的にモバイルアプリのように機能するWebサイトであるが、攻撃者は次第にWebAPKというより高度な形態のPWAを使うようになった。そして最終的にNGateマルウェアの配布に至る攻撃手法が確立された。

さらに、NGateマルウェアに基づいている合法的なオープンソースのNFCリサーチツール「NFCGate」についても解説し、このツールを使用して実現可能な2つの追加攻撃シナリオを説明する。プレゼンテーションでは、NFCを利用した非接触決済攻撃やNFCトークンのクローン作成をデモンストレーションする予定である。攻撃者がスマートフォンを使って公共の場所で非接触カードをスキャンし、遠隔端末で同時に支払いを行う方法や、MIFARE Classic 1k NFC非接触スマートカードのUIDをクローンして制限区域へのアクセスを取得する手法を実演する。

Presented by : Lukas Stefanko ルーカス・ステファンコ Jakub Osmani ヤクブ・オスマニ

レポート

  • マルウェアのリサーチャーでandroidのマルウェアが専門
  • NGateの発見
    • 2024年3月チェコの警察が犯人を逮捕した映像
    • 被害者のコンタクトレスのPaymentを利用した
    • 実際に引き出す瞬間を逮捕した
    • マルウェアを利用している
    • 160,000 Czech korunas
    • NFCリレー攻撃で、スマートフォンを使用してATMから現金を引き出す
    • 2024年12月以降は発生していない
    • SMSでランダムな電話番号にばらまかれた
  • 攻撃手法
    • PWAフィッシングリンクをSMSで送信
    • マルウェアをインストール
    • 銀行のクレデンシャルを窃取
    • 銀行の従業員を騙り連絡
    • セキュリティインシデントと連絡
    • PINの変更と認証をマルウェア経由の実施を要求
    • PINとNFCのトラフィックを支払いカードから窃取
  • フォールバックプラン
    • 失敗しても銀行口座のクレデンシャルは手に入る
  • 新しいマルウェアだが、古い技術を利用している
  • 3つの銀行をターゲットとした6つのNGateアプリが見つかった
  • 技術的な分析
    • これまでに進化しており、3つのツールが見つかっている
    1. 悪意のあるWebアプリ
    • AndroidとiOSだけをターゲットとした
    • PWAのサイトに行くと、ダウンロードが
    • ブラウザから有害だとポップアップが出る
    • しかし、ダウンロードはできてしまう
    • ホーム画面にアプリが追加される
    1. 悪意のあるWebAPK
    • ダウンロードはポップアップが出ない
    1. NGate
    • Phishing
      • アカウント情報
      • PINの変更
      • C&Cへの接続
    • NFCGate tool
      • 10年前に公開されている
  • 他の攻撃シナリオ
      1. NFC tagのクローニング
      • 入退館に使う
      • 鍵がついている
      • すべてのリーダーではなく、鍵が不要なリーダーもある
      • カードのIDがクローニングできるものもある
      • UID Mifare
      • クローニングは数秒でできる
      • 標的がはっきり決まっている場合
      1. Contactless payment
      • 50EURO以下であれば支払いできる
      • 遠隔地にいる人が支払う場合や、バックパックの上からスキミングする手法がある
      1. Smartphone wallet apps
      • 決済アプリは認証があるので非常に難しい
      • 今ではできないが、スマートウォッチからスマホでリレーをすることができた
  • まとめ
    • 3つのツールがある(PWA、WebAPK、NGate)
    • ユニークなアタックシナリオがある
    • チェコ共和国だけのキャンペーンだった
    • NFGGate toolがある
  • 防止策
    • 正式なアプリストアを使う
    • RFID blockerを使う(アルミホイルも可)
      • 財布の中に組み込まれているものもある
    • モバイルウォレットアプリ
    • PINを共有しない
    • 使わないときはNFCを切る

感想

  • 銀行口座の現金が直接盗まれてしまうのは恐ろしいです
  • 今ではこの手法では活動していないようですがまた新たな手法が出てこないか注視したいです

Share this article

facebook logohatena logotwitter logo

関連記事

[レポート]Panel Discussion:サイバーセキュリティ人材育成と戦略的イニシアティブへの国際的アプローチ – CODE BLUE 2024 #codeblue_jp

[レポート]Panel Discussion:サイバーセキュリティ人材育成と戦略的イニシアティブへの国際的アプローチ – CODE BLUE 2024 #codeblue_jp

User avatar
吉本明人
2024.11.15
[レポート]SnowflakeからSnowstormへ:侵害と検知の対処 - CODE BLUE 2024 #codeblue_jp

[レポート]SnowflakeからSnowstormへ:侵害と検知の対処 - CODE BLUE 2024 #codeblue_jp

User avatar
臼田佳祐
2024.11.15
[レポート]ZANSIN, Babbly - 第2回目 CyberTAMAGO - CODE BLUE 2024 #codeblue_jp

[レポート]ZANSIN, Babbly - 第2回目 CyberTAMAGO - CODE BLUE 2024 #codeblue_jp

User avatar
臼田佳祐
2024.11.15
[レポート][GMOインターネットグループ株式会社]GMOイエラエ全員集合!!進化するサイバー攻撃への対策最前線 - CODE BLUE 2024 #codeblue_jp

[レポート][GMOインターネットグループ株式会社]GMOイエラエ全員集合!!進化するサイバー攻撃への対策最前線 - CODE BLUE 2024 #codeblue_jp

User avatar
べこみん
2024.11.15
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.