DevilNFC - nova Android zlonamerna aplikacija koja koristi Kiosk Mode za krađu podataka kartica
DevilNFC Android malver koristi Kiosk Mode da zaključa žrtvu u lažnom bankskom interfejsu tokom NFC relay napada.
Šta se desilo?
Otkrivena je nova i opasna Android malver nazvana DevilNFC koja kombinuje NFC relay napade sa Kiosk Mode - tehnikom zaključavanja koja drži žrtvu zarobljenom na lažnoj bankarskoj aplikaciji dok se prikupljaju podaci njene kartice. Malver je prvo detektovan od strane bezbednosnog istraživačkog tima Cleafy i ukazuje na nivo sofisticiranosti koji se retko viđa kod nezavisno razvijanih zlonamernih alata.
Kako funkcioniše napad?
Napad počinje sa phishing porukom preko SMS-a ili WhatsApp-a koja žrtvu usmjerava na lažnu stranicu koja impersonira Google Play Store. Aplikacija se predstavlja kao obavezna sigurnosna ažuriranja od legitimne banke (obično ispanjolskog izvora). Nakon instalacije, malver se aktivira odmah, a žrtva gubi kontrolu nad uređajem. Korišćenjem Android Kiosk Mode-a, uređaj se zaključava u lažnom interfejsu, a hardware dugme za nazad je onemogućeno. Tokom ovog vremena, napadač pretvara legitimnu NFC transakciju preko relay napada - u praksi, on koristi žrtvin uređaj da izvrši transakciju sa bankamatom ili terminalima u blizini.
Koga pogađa?
DevilNFC ciljano napada korisnike bankarskih usluga u Evropi i Latinskoj Americi. Bezbednosni istraživači su identifikovali da ova malver porodica nije obična pretnja - ona je potpuno napisana od nule od strane specifične grupe napadača. Dodatno, istraživanja su pokazala i drugu porodicu NFC relay malvera nazvanu NFCMultiPay koja deluje nezavisno, ali sa sličnim ciljevima.
Kako se zaštititi?
- Nikada ne klikni na linkove iz nepoznatih SMS ili WhatsApp poruka, posebno ako se predstavljaju kao ažuriranja banke
- Skinite aplikacije samo sa zvaničnog Google Play Store-a, nikada sa linkova iz poruka
- Proveri javno dostupnu listu zlonamernih aplikacija koju objavljuje Cleafy ili Threat Intelligence timovi
- Drži Android operativni sistem i sve aplikacije ažurirane na najnovije verzije
- Koristi dodatnu autentifikaciju (2FA) koju nudi tvoja banka gde god je moguće
- Budi oprezan sa NFC mogućnostima - onemogući ih ako ih ne koristiš aktivno
Tehnički detalji
DevilNFC koristi Android Kiosk Mode (Device Admin i Accessibility Services) za zaključavanje uređaja i sprečavanje povratka korisniku. Malver preuzima socijalni inženjering šablon sa udaljenog servera prilagođen za svaki napad. Oba novootkrivena NFC relay malvera porodice (DevilNFC i NFCMultiPay) se pojavljuju istovremeno u sličnim geografskim regijama, što označava značajan zaokret u pejzažu NFC relay pretnji.
Preporuka Sajber Radara
Korisnici sa bankarskim uslugama u Evropi i Latinskoj Americi trebaju biti posebno oprezni prema bilo kakvim porukama koje ih navode da instaliraju "sigurnosne ažuriranjа" iz spoljnih linkova. Savetujemo da odmah kontaktiraš tvoju banku ako si instalirao sumnjive aplikacije i da proveris statusu tvog računa.
