俄罗斯首次截获通过 NFC 窃取银行数据的 SuperCard 恶意软件
HackerNews 编译,转载请注明出处: 俄罗斯网络安全研究人员发现首例本土化数据窃取攻击,攻击者使用经篡改的近场通信(NFC)合法软件进行作案,这似乎是更广泛攻击活动的测试阶段。 该报告涉及恶意软件SuperCard——此前已知的合法软件NFCGate的变种。NFCGate原设计用于在邻近设备间中继传输NFC数据,而网络犯罪分子长期滥用NFC技术盗取受害者银行资金。在先前针对欧洲银行的SuperCard攻击中,黑客通过被入侵的安卓手机,将受害者实体支付卡数据中继传输至攻击者控制的设备,随后利用窃取的数据实施ATM交易。若该方法失败,攻击者则直接将受害者账户资金转移至其他账户。 莫斯科网络安全公司F6在6月17日发布的报告中指出,SuperCard于2025年5月首次在俄罗斯境内针对安卓用户部署,而该恶意软件最初于同年4月在意大利被发现。意大利安全公司Cleafy曾披露,该工具以恶意软件即服务(MaaS)形式分发,由“中文使用者”操作。攻击者采用社会工程手段诱骗受害者下载伪装成合法应用的SuperCard。一旦安装,该恶意软件能识别受害者使用的支付系统(Visa、Mastercard、American Express、UnionPay或JCB),进而支持犯罪分子实施欺诈交易。 研究人员强调,SuperCard区别于以往基于NFCGate的恶意软件之处在于其商业化分发策略:首次通过Telegram中文频道公开推广,采用订阅制销售并提供客户支持。F6发现其广告宣称可针对美国、澳大利亚及欧洲主要银行的客户。F6早于2025年1月就在俄罗斯观察到基于NFCGate的攻击(早于SuperCard扩散)。此后攻击工具经多次篡改升级。据F6统计,2025年第一季度俄罗斯因NFCGate变种造成的总损失达4.32亿卢布(约合550万美元),超17.5万台安卓设备被感染。 消息来源: therecord; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Ghost Tap:黑客利用 NFCGate 通过移动支付窃取资金
研究人员发现,黑客可以通过利用近场通信 (NFC) 大规模套现受害者资金的新技术。 地下论坛上的一篇帖子 该技术由 ThreatFabric 命名为Ghost Tap,可让网络犯罪分子从与 Google Pay 或 Apple Pay 等移动支付服务关联并中继 NFC 流量的被盗信用卡中套现资金。 这家荷兰安全公司称:“犯罪分子现在可以滥用 Google Pay 和 Apple Pay,在几秒钟内将您的点击支付信息传输到全球。”“这意味着即使没有您的实体卡或手机,他们也可以在世界任何地方通过您的账户付款。” 这些攻击通常通过诱骗受害者下载手机银行恶意软件来实施,恶意软件可以使用覆盖攻击或键盘记录器来获取受害者的银行凭证和一次性密码。或者,它可能涉及语音钓鱼组件。 一旦掌握了信用卡详细信息,攻击者就会将信用卡与 Google Pay 或 Apple Pay 关联起来。但为了避免发卡机构封锁信用卡,点击支付信息会被转发给若干名“钱骡”(黑色产业链中负责洗钱或提取现金的人),后者负责在商店进行欺诈性购买。 这是通过一种名为NFCGate的合法研究工具实现的,它可以捕获、分析或修改 NFC 流量。它还可用于通过服务器在两个设备之间传递 NFC 流量。 NFCGate开源项目作者德国达姆施塔特工业大学安全移动网络实验室的研究人员表示:“一台设备作为‘读取器’读取 NFC 标签,另一台设备使用主机卡模拟 (HCE) 模拟 NFC 标签。” 尽管 NFCGate 之前曾被不良行为者使用,将 NFC 信息从受害者的设备传输给攻击者,正如ESET 早在 2024 年 8 月使用 NGate 恶意软件所记录的那样,但最新的进展标志着该工具首次被滥用来传递数据。 ThreatFabric 指出:“网络犯罪分子可以在装有被盗卡的设备和零售商的 PoS [销售点] 终端之间建立中继,保持匿名并进行更大规模的套现。” “持有被盗卡的网络犯罪分子可能远离使用该卡的地点(甚至是不同的国家),也可能在短时间内在多个地点使用同一张卡。” 这种策略的优势在于,它可以用来在线下零售商处购买礼品卡,而网络犯罪分子无需亲自到场。更糟糕的是,它可以被用来在短时间内招募不同地点的多名钱骡,从而扩大欺诈计划的规模。 Ghost Tap攻击的检测难度在于,交易看起来好像来自同一台设备,从而绕过了反欺诈机制。连接卡的设备也可能处于飞行模式,这会使检测其实际位置变得困难,并且很难发现它实际上并未用于在 PoS 终端进行交易。 ThreatFabric 指出:“我们怀疑,随着网络的不断发展,通信速度越来越快,再加上 ATM/POS 终端缺乏适当的基于时间的检测,使得这些攻击成为可能,因为带有卡的实际设备物理上远离进行交易的地点(设备不在 PoS 或 ATM 上)。” “由于能够迅速扩大规模并在匿名的掩护下运作,这种套现方式对金融机构和零售机构都构成了重大挑战。” 转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/334uX_p2THzcfpBuTMjkyA 封面来源于网络,如有侵权请联系删除
Safari 现支持 NFC、USB 和 Lightning FIDO2 兼容的安全密钥
在面向开发者和公测用户的iOS 13.3版本更新中,允许Safari浏览器支持NFC、USB和Lightning FIDO2兼容的安全密钥。该功能事实上在iOS 13.3的首个开发者Beta版本中已经启用,不过在今天发布的Beta 2提供了更详细的信息。在苹果官方支持文档中写道:“现在在具备必要硬件功能的设备上,Safari、SFSafariViewController、以及使用WebAuthn标准的ASWebAuthenticationSession中支持NFC、USB和Lightning FIDO2兼容的安全密钥。” 在iOS 13.3更新中,Safari将支持物理安全密钥,例如配备了Lightning的YubiKey,可用于更安全的两因素身份验证。Yubico早在8月份就宣布了YubiKey 5Ci,但在发布之时,它的功能有限,因为它虽然不能与Safari,Chrome或其他主要浏览器一起使用,但兼容1Password等应用。 在得到Safari的支持之后,YubiKey 5Ci就成为了一个合法有用的工具。由于不需要输入安全密码,因此它比基于软件的双因素身份认证更方便,你只需要将它插入到iPhone或者Mac设备上就能完成身份认证。在macOS的Safari 13此前已经添加了对使用WebAuthn的FIDO2兼容USB安全密钥的支持。 在iOS 13.3更新之后,其他基于NFC,USB和基于Lightning的安全密钥也将与Safari一起使用。目前尚不清楚iOS 13.3何时正式发布,不过在经过数周的Beta测试之后我们有望在12月看到正式版。 (稿源:cnBeta,封面源自网络。)
Android NFC 漏洞可被黑客拿来传播植入恶意软件
ZDNet 报道称,近期曝光的一个 Android 漏洞,导致黑客能够利用设备上的近场接触(NFC)功能,向受害者传播植入恶意软件。CVE-2019-2114 漏洞报告指出,问题源自一项鲜为人知的 Android OS 功能,它就是 NFC Beaming 。所有运行 Android 8 Oreo 及以上版本的设备,都会受到影响。 据悉,NFC 广播通过设备内部的 Android OS 服务(Android Beam)来工作。 (截图 via ZDNet) 这项服务允许 Android 设备使用近场通讯(NFC)技术来替代 Wi-Fi 或蓝牙,将图像、文件、视频、甚至应用程序,发送到另一台设备上。 通常情况下,通过 NFC 传输的 APK 安装包会存储在设备上,并在屏幕上显示相关通知,询问用户是否允许安装未知来源的应用程序。 然而今年 1 月,一位名叫 Y. Shafranovich 的安全研究人员发现:在 Android 8(Oreo)或更高版本的系统上通过 NFC 广播来发送应用程序,并不会显示这一提示。 相反,该通知允许用户一键安装应用程序,而不发出任何安全警告。 尽管缺少一个提示,听起来似乎并不那么重要,但它还是成为了 Android 安全模型中的一个重大问题。 庆幸的是,谷歌已在 2019 年 10 月修复了这个影响 Android 设备的 NFC Beaming 漏洞。 “未知来源”的定义,特指通过官方 Play 商店之外安装的任何东西,其默认都被视为不受信任和未经验证。 若用户需要侧载外部应用,必须前往设置菜单,然后手动启用“允许从未知来源安装应用”。 Android 8 Oreo 之前,这项设置并没有什么问题。然而从 Android 8 Oreo 开始,谷歌将这种机制重新设计为基于 App 的设置。 在 CVE-2019-2114 漏洞中,Android Beam 竟然被列入了白名单,获得了与官方 Play 应用商店相同的信任权限。 谷歌表示,Android Beam 服务从来就不是安装应用程序的一种方式,而仅仅是一种在设备之间传输数据的方式。 即便如此,该公司还是在 2019 年 10 月的 Android 安全补丁中,将 Android Beam 踢出了这款移动操作系统中的受信任来源列表。 (图自:LG) 对于数百万仍处于危险之中的 Android 用户,我们在此建议大家尽快升级手机的安全补丁、或者尽量在不使用时关闭 NFC 和 Android Beam 功能。 (稿源:cnBeta,封面源自网络。)