Исследование

Взлом технологии NFC на Android-устройствах

Утилита позволяет пользователям в Чили ездить бесплатно на общественном транспорте

«Tarjeta BIP!» – это система электронных платежей, которая позволяет пользователям в Чили оплачивать общественный транспорт при помощи встроенного в смартфон NFC-модуля. В мире уже реализовано множество проектов, позволяющих оплачивать проезд в общественном транспорте при помощи этой бесконтактной технологии. Она уже стала трендом, а значит, может заинтересовать и киберпреступников. Более того, уже заинтересовала.

Все больше людей обсуждают преимущества платежей посредством NFC. Проблема в данном случае заключается в том, что кто-то взломал технологию карт Tarjeta BIP! и нашёл способ пополнять их бесплатно. 16-го октября появился первое публичное приложение для Android, позволяющее пользователям пополнять эти транспортные карты на 10000 чилийских песо, что примерно соответствует 17 долларам США.

1

Сразу после появления приложения в интернете, множество пользователей скачало его, проверило на практике и убедилось, что с его помощью действительно можно пополнять транспортные карты. Всё, что для этого нужно – установить приложение на Android-устройство, поддерживающее NFC, поднести транспортную карту к телефону и нажать кнопку «Cargar 10k», что означает «пополнить карту на 10000 [чилийских песо]».
Судя по метаданным, содержащимся в DEX-файле, он был скомпилирован 16 октября 2014 г. Его размер 884.5 kB (884491байт). Встроенная функция прямо взаимодействует с NFC-портом: android.hardware.nfc

У приложения есть четыре основные функции: «número BIP» – получить номер карты, «saldo BIP» – узнать баланс на карте, «Data carga» – пополнить баланс и, пожалуй, самое интересное – «cambiar número BIP» – изменить номер карты. Почему последняя функция показалась нам самой интересной? Согласно некоторым источникам, власти планировали блокировать BIP-карты, пополненные незаконным образом. Однако же, возможность сменить номер карты при помощи приложения делает блокировку полностью бессмысленной.
Первоначальные ссылки для скачивания приложения уже заблокированы, однако появились новые ссылки, ведущие на новые сервера. Оказалось, что к скачиванию с них предлагается уже по сути новое приложение:

Это видоизмененная версия предыдущего приложения, скомпилированная 17 октября 2014. Размером она гораздо больше – 2.7 MB (2711229 байт). Версия включает в себя рекламный модуль, который демонстрирует рекламу через сеть DoubleClick.

Поскольку оба приложения позволяют пользователям взламывать легитимное приложение, они детектируются продуктами «Лаборатории Касперского» как HEUR:HackTool.AndroidOS.Stip.a.
Поскольку приложение сейчас очень популярно, и многие чилийцы скачивают и пользуются им, можно ожидать, что вскоре появятся киберпреступники, которое создадут содержащие троянцев подделки под него, чтобы заражать мобильные устройства пользователей и наживаться на этом.

В то же время важно сказать, что мобильные платежи становятся всё более и более популярны, и NFC – это одна из наиболее многообещающих технологий в этой сфере. А вышеперечисленное – хороший пример того, как появление новых платежных схем обнажает старые проблемы.

Спасибо Роману Унучеку за его аналитические идеи.

Подписывайтесь на меня в Твиттере: @dimitribest

Взлом технологии NFC на Android-устройствах

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике