Một chiến dịch tội phạm mạng phức tạp đang lan rộng khắp nhiều châu lục, khai thác công nghệ NFC để đánh cắp thông tin ngân hàng. Các nhà nghiên cứu tại zLabs đã xác định hơn 760 ứng dụng Android độc hại được thiết kế chuyên biệt cho mục tiêu này, dẫn đến hàng loạt giao dịch gian lận.

Những sự cố ban đầu xuất hiện vào tháng 4 năm 2024 giờ đây đã phát triển thành một chiến dịch quy mô lớn. Hoạt động này nhắm vào các tổ chức tài chính tại Nga, Ba Lan, Cộng hòa Séc, Slovakia, Brazil và nhiều quốc gia khác.

Hạ tầng và Phạm vi của Mã độc NFC

Hệ sinh thái của mã độc NFC này hoạt động thông qua một hạ tầng mở rộng. Bao gồm hơn 70 máy chủ command-and-control (C2) và hàng chục kênh Telegram riêng tư.

Các kênh Telegram này được sử dụng để trích xuất dữ liệu, cùng với các ứng dụng giả mạo khoảng 20 tổ chức ngân hàng hợp pháp và dịch vụ chính phủ. Điều này cho thấy sự tổ chức chặt chẽ của nhóm tấn công.

Các nhà nghiên cứu bảo mật đã ghi nhận sự gia tăng đều đặn các mẫu độc hại trong suốt năm 2024. Điều này chứng tỏ các tác nhân đe dọa đang liên tục cải tiến kỹ thuật và mở rộng phạm vi địa lý hoạt động của chúng. Zimperium đã cung cấp phân tích chuyên sâu về hiện tượng này.

Chiến thuật Lừa đảo Xã hội và Mạo danh

Ứng dụng Giả mạo Ngân hàng và Dịch vụ Chính phủ

Các ứng dụng độc hại này sử dụng kỹ thuật lừa đảo xã hội tinh vi. Chúng mạo danh các dịch vụ hợp pháp từ các tổ chức tài chính lớn và cơ quan chính phủ.

Các tác nhân đe dọa đã giả mạo nhiều tổ chức uy tín. Bao gồm VTB Bank, Tinkoff Bank, Santander, PKO Bank Polski, Bradesco, Itaú. Ngay cả các dịch vụ chính phủ như cổng Gosuslugi của Nga và các cơ quan quản lý như Ngân hàng Trung ương Nga và Ngân hàng Quốc gia Slovakia cũng bị mạo danh.

Bằng cách sao chép thương hiệu và giao diện của các thực thể đáng tin cậy này, kẻ tấn công đã thành công. Chúng lừa nạn nhân cấp các quyền NFC nguy hiểm cho các ứng dụng độc hại.

Quy trình Lây nhiễm và Cấp quyền

Sau khi được cài đặt, các ứng dụng này yêu cầu trở thành phương thức thanh toán NFC mặc định. Chúng hiển thị các giao diện ngân hàng toàn màn hình rất thuyết phục, thường được hiển thị trong WebViews để tăng cường tính xác thực.

Đằng sau giao diện giả mạo này, các dịch vụ nền tảng âm thầm thu thập dữ liệu thẻ. Bao gồm số thẻ, ngày hết hạn và các trường dữ liệu EMV quan trọng được truyền trong quá trình thanh toán.

Cơ chế Vận hành và Đánh cắp Dữ liệu

Mã độc NFC khai thác chức năng Host Card Emulation (HCE) của Android. Điều này cho phép nó chặn dữ liệu thanh toán khi người dùng thực hiện giao dịch không tiếp xúc.

Các phương pháp hoạt động khác nhau giữa các nhóm tác nhân đe dọa. Một số chiến dịch triển khai các ứng dụng theo cặp. Trong đó, một công cụ trích xuất dữ liệu thẻ và một công cụ khác giao tiếp với hệ thống điểm bán hàng (POS) để hoàn tất các giao dịch gian lận.

Cơ chế Relay APDU và Kênh Telegram

Các biến thể khác tập trung độc quyền vào việc trích xuất dữ liệu. Chúng tự động truyền thông tin đăng nhập bị đánh cắp đến các kênh Telegram riêng tư. Tại đây, tội phạm mạng nhận được các tin nhắn có cấu trúc.

Những tin nhắn này chứa mã định danh thiết bị, chi tiết thẻ đầy đủ và siêu dữ liệu giao dịch. Điều này giúp chúng dễ dàng quản lý và sử dụng dữ liệu đánh cắp.

Mã độc NFC duy trì liên lạc liên tục với hạ tầng C2 thông qua một giao thức lệnh mở rộng. Giao thức này bao gồm đăng ký thiết bị, chuyển tiếp APDU cho giao tiếp thiết bị đầu cuối, thu thập mã PIN và giám sát trạng thái.

Các lệnh như “apdu_command” và “apdu_response” cho phép các cuộc tấn công chuyển tiếp theo thời gian thực. Ứng dụng độc hại chuyển tiếp các yêu cầu từ thiết bị thanh toán đến các máy chủ từ xa. Những máy chủ này được kiểm soát bởi kẻ tấn công, cho phép tội phạm thực hiện giao dịch bằng thông tin thanh toán của nạn nhân từ bất cứ đâu trên thế giới.

Các diễn đàn tội phạm mạng đã sử dụng thuật ngữ lóng tiếng Nga “Mamont” (có nghĩa là voi ma mút) để chỉ các nạn nhân của những kế hoạch này. Điều này nhấn mạnh bản chất có tổ chức của các hoạt động và nguồn gốc từ các mạng lưới tội phạm mạng Đông Âu.

Phản ứng trước Mối đe dọa Mạng

Sự gia tăng nhanh chóng của mã độc NFC phản ánh khả năng thích ứng của tội phạm mạng. Chúng liên tục khai thác việc áp dụng ngày càng tăng của công nghệ thanh toán không tiếp xúc. Khi các giao dịch “Tap-to-Pay” trở nên phổ biến trên toàn cầu, bề mặt tấn công cho việc khai thác NFC tiếp tục mở rộng.

Quy mô của mối đe dọa mạng này được thể hiện rõ ràng. Qua hàng trăm ứng dụng độc hại, hạ tầng máy chủ rộng lớn và các kênh C2 phối hợp dựa trên Telegram. Điều này cho thấy đây không còn là hoạt động thử nghiệm mà đã trở thành một doanh nghiệp tội phạm được thiết lập và có lợi nhuận cao.

Khuyến nghị Bảo mật

Các tổ chức tài chính cần tăng cường hệ thống phát hiện gian lận. Mục tiêu là xác định các mẫu giao dịch NFC bất thường. Trong khi đó, các nhà sản xuất thiết bị di động nên triển khai các kiểm soát chặt chẽ hơn đối với quyền NFC.

Người dùng cần hết sức thận trọng trước khi cấp quyền truy cập chức năng thanh toán NFC cho bất kỳ ứng dụng nào. Đặc biệt là khi cài đặt ứng dụng từ các nguồn không chính thức hoặc từ các nhà phát triển không quen biết yêu cầu các đặc quyền liên quan đến thanh toán.