NFC-Malware leert Bankkonten
Phishing und Malware kombiniert ein Angreifer, um Geldautomaten Bankkarten vorzuspielen und per NFC Geld abzuheben. Beobachtet wurde das in Tschechien.
Symbolfoto Bankomat
(Bild: Hadrian/Shutterstock.com)
Android-Malware, die Daten von NFC-Karten kopiert und übermittelt, hat das slowakische IT-Sicherheitsunternehmen ESET in freier Wildbahn gefunden. Über mehrere Monate hinweg wurden damit fremde Konten bei drei tschechischen Banken geleert. Seit März ist ein Verdächtiger in Haft, doch sind Nachahmer wohl nur eine Frage der Zeit. Die Malware namens NGate soll auf Software beruhen, die Studenten der Technischen Universität Darmstadt geschrieben und für Forschungszwecke veröffentlicht haben.
Diese Software heißt nfcgate und erfasst, analysiert und modifiziert Daten, die über NFC-Verbindungen übertragen werden. Zweck ist, das Verständnis von Übertragungsprotokolle zu vertiefen und deren Sicherheit zu bestimmen. Laut ESET haben sich Unbekannte an dem Darmstädter Code bedient, um die NFC-Malware NGate für illegale Zwecke zu programmieren.
NFC steht für Near Field Communication; das ist ein mehr als 20 Jahre altes Verfahren zur kontaktlosen Übertragung von Daten über wenige Zentimeter Distanz. Eingesetzt werden NFC-Chips beispielsweise in Mobiltelefonen, Zutrittskarten, Fahrausweisen und Bankkarten. Die Mehrheit der deutschen Verbraucher zahlt inzwischen kontaktlos, dank NFC. Auch in Tschechien sind Bankkarten mit NFC längst Standard. Das haben der oder die Täter ausgenutzt.
Mehrstufiger Angriff
Die Angriffe begannen mit SMS, wahrscheinlich an wahllose tschechische Handynummern verschickt. Darin wurde die Auszahlung eines Steuerguthabens versprochen, wozu die Installation einer verlinkten App erforderlich sei, die direkt im Browser läuft (Progressive Web App, PWA). Nein, das war noch nicht die NFC-Malware. Wer die App installierte und seine Bankdaten eingab, verschaffte den Tätern Zugriff auf das eigene Bankkonto. Es folgte der Anruf einer Person, die einen "hilfreichen Bankmitarbeiter" spielte. Diese Person informierte das Opfer (faktisch korrekt) darüber, dass er Opfer eines IT-Angriffs geworden sei.
Die "notwendige Abhilfe" bestand laut der Erzählung darin, eine weitere App zu installieren, um schnell die PIN für die eigene Bankkarte ändern zu können. Dazu wurde das Opfer auf den Google Play Store nachahmende Webseiten geschickt, um die Malware NGate herunterzuladen und zu installieren. Das war dann die NFC-Malware. (Im echten Google Play Store hat ESET sie nicht gefunden.) Die Software ahmt das Interface echter Bank-Apps nach und fragt Kundennummer, Geburtsdatum und PIN ab. Außerdem leitet sie den Nutzer dazu an, die passende Bankkarte ans Gerät zu halten. Falls notwendig, wird auch das Einschalten von NFC am Handy gefordert.
Tatsächlich dient das alles nicht der Absicherung des Bankkontos; vielmehr schickt die Malware PIN und NFC-Daten an das gerootete Android-Handy eines Täters. In Tschechien ist dann ein Maskierter mit so einem Handy zu NFC-fähigen Geldautomaten gegangen und hat sich von dem fremden Konto Geld auszahlen lassen. Dank des durch die erste App erbeuteten Zugriff auf das Online-Banking des Opfers, konnten die Täter die Auszahlungslimits erhöhen.
Root nicht erforderlich
Die Handys der Opfer mussten übrigens nicht gerootet sein, betont ESET. Dessen Forscher haben NGate-Varianten für sechs verschiedene tschechische Banken aufgespürt, stets signiert mit dem selben Entwicklerzertifikat.
Erfolgreiche Angriffe sind auf Kunden dreier tschechischer Banken bekannt. Als die tschechische Polizei im März einen 22-jährigen Verdächtigen festnahm, hatte er umgerechnet mehr als 6.000 Euro bei sich. Das Bargeld soll lediglich von seinen drei letzten Opfern stammen, weshalb eine vielfach höhere Schadenssumme wahrscheinlich ist. Die Polizei bittet Opfer, Anzeige zu erstatten, und womöglich gleich mitzuteilen, an welchem Geldautomaten ihr Konto erleichtert wurde.
Übrigens: Wenn es den Tätern nicht gelang, das Opfer zur Installation der NFC-Malware zu installieren, bereicherten sie sich gerne durch Überweisungen am fremden Konto. Dazu reichte schon die erste App, ganz ohne NFC.
In Überschrift und Vorspann war von "kopierten Bankkarten" die Rede, was nicht korrekt ist. Das haben wir deshalb geändert. Der Angriff simuliert lediglich eine Karte, indem eine Malware die Antworten der echten Karte abgreift und an den Täter vor dem Automaten sendet, wie es der Artikel selbst auch richtig beschreibt.
(ds)