【CODE BLUE 2024】ルーカス・ステファンコ+ヤクブ・オスマニ / Lukas Stefanko+Jakub Osmani - 講演関連資料 / Presentation resources -

2025年2月19日 13:30

●講演概要 / Abstract

[ja] NGate：NFCを中継してATMから不正引き出しを行う新型Androidマルウェア

NFCリレー攻撃は理論上は何年も前から議論されてきたが、実際の成功例は依然として稀である。今回紹介するのは、2024年初頭にチェコで被害者から数千ドルを盗んだ、NFCリレー攻撃を利用してリモートATM引き出しを実行した最初の公に知られるイン・ザ・ワイルド（インターネットに放たれた）のAndroidマルウェア「NGate」である。この攻撃には、ソーシャルエンジニアリングやフィッシングの手口も利用されていた。
この攻撃は2023年11月にチェコで始まり、当初はプログレッシブWebアプリ（PWA）を利用した。PWAは本質的にモバイルアプリのように機能するWebサイトであるが、攻撃者は次第にWebAPKというより高度な形態のPWAを使うようになった。そして最終的にNGateマルウェアの配布に至る攻撃手法が確立された。
さらに、NGateマルウェアに基づいている合法的なオープンソースのNFCリサーチツール「NFCGate」についても解説し、このツールを使用して実現可能な2つの追加攻撃シナリオを説明する。プレゼンテーションでは、NFCを利用した非接触決済攻撃やNFCトークンのクローン作成をデモンストレーションする予定である。攻撃者がスマートフォンを使って公共の場所で非接触カードをスキャンし、遠隔端末で同時に支払いを行う方法や、MIFARE Classic 1k NFC非接触スマートカードのUIDをクローンして制限区域へのアクセスを取得する手法を実演する。

codeblue.jp

[en] NGate: Novel Android malware for unauthorized ATM withdrawals via NFC relay

While theoretical NFC relay attacks have been discussed for years, real-world attacks remain rare – especially successful ones. Dive with us into NGate, the first publicly known, in-the-wild, Android malware that used an NFC relay attack to facilitate remote ATM withdrawals, and successfully stole thousands from victims in Czechia early in 2024 – with a little help from social engineering and phishing. These attacks started in Czechia in November 2023. Initially, the attackers took advantage of progressive web apps (PWAs), which are essentially websites that function like mobile apps. They then advanced their tactics by using a more complex form of PWAs called WebAPKs. This progression led to the final step of their attack: distribution of the NGate malware. To spice things up, we’ll delve into NFCGate, the legitimate, open-source, NFC research toolkit that the NGate malware is based on, and explain two additional attack scenarios that can be achieved using the same tooling. During our presentation, we will demonstrate NFC attacks against contactless payments, and NFC token cloning. We will show how attackers can use a smartphone to scan contactless cards in public places, enabling them to make payments simultaneously at a remote terminal. Additionally, we will demonstrate how an attacker can clone the UID of MIFARE Classic 1k NFC contactless smartcards to gain access to restricted areas.

codeblue.jp

●略歴 / Bio

[ja] ルーカス・ステファンコ

ルーカス・ステファンコは、エンジニアリングの強いバックグラウンドを持ち、Androidマルウェアの研究とセキュリティに注力している経験豊富なマルウェアリサーチャーである。13年以上のマルウェア研究の経験を持ち、Androidマルウェアの検出メカニズムの改善に取り組んでいる。近年では、モバイルの脅威やアプリの脆弱性に対する一般の認識を高めるために大きな進展を遂げている。RSA、Virus Bulletin、Confidence、DefCamp、BountyCon、AVAR、CARO Workshop、Infoshare、Ekoparty、Copenhagen CyberCrimeなど、数々のセキュリティカンファレンスで講演している。

codeblue.jp

[en] ヤクブ・オスマニ

ヤクブ・オスマニは、Webアプリケーションのセキュリティテストに重点を置いたペネトレーションテスターであり、3年の経験を持つ。また、ESETのブランドインテリジェンスサービスの一環として、ESETクライアントのブランド保全を脅かすアクティブな脅威の調査を行うチームのリーダーでもある。これには、アクティブなフィッシングキャンペーンの捜索、ソーシャルメディア上の悪意あるキャンペーンや投稿の監視、モバイルマルウェアの脅威を監視するためのマルウェアアナリストとの協力が含まれる。彼は複数の内部イベントやクライアント向けのプレゼンテーション、さらにはクライアントの経営陣向けの発表も行っている。

codeblue.jp

[en] Lukas Stefanko

Lukas Stefanko is an experienced malware researcher with a strong engineering background and a well-demonstrated focus on Android malware research and security. With more than 13 years’ experience with malware, he has been focusing on improving detection mechanisms of Android malware and in the past couple of years has made major strides towards heightening public awareness around mobile threats and app vulnerabilities. He has presented at several security conferences such as RSA, Virus Bulletin, Confidence, DefCamp, BountyCon, AVAR, CARO Workshop, Infoshare, Ekoparty, and Copenhagen CyberCrime.

codeblue.jp

[en] Jakub Osmani

Jakub Osmani is a penetration tester with a focus on testing the security of web applications and three years of experience. He is also team lead of a group that focuses on searching for active threats to ESET clients’ brand integrity, as part of ESET’s Brand Intelligence services. As part of this he searches for active phishing campaigns, monitors social media for malicious campaigns and posts, and cooperates with malware analysts to monitor for active mobile malware threats. He has presented at multiple internal events to clients, as well as to the executive board of a client.

codeblue.jp

●事前インタビュー / Pre-Event Interview

[ja] インタビュー

Q1 あなたがこのトピックに取り組むようになったきっかけは何ですか？
われわれのクライアントの1つである金融業界の顧客が、NGateマルウエアの被害にあったことがきっかけです。このマルウェアは、被害者のスマートフォンを経由して非接触カードのNFCデータを中継し、それを攻撃者のデバイスに転送することで、不正にATMから現金を引出すことを可能にしたのです。さらに、攻撃者はソーシャルエンジニアリングを利用してカードのPINコードまで取得していました。

Q2 研究の過程でどのような点で苦労しましたか?
さまざまなスマートフォンやAndroidのバージョンでサポートが限られていたため、攻撃シナリオを再現するのに苦労しました。また、実際のテスト中に、カメラや2台のスマートフォン、カードを持ってATM間を移動していたため、まわりから不審な目で見られていました。当局に通報されることがなくて幸いでした。

Q3 CODEBLUEの参加者、参加を検討している人に向けてメッセージをお願いします。
われわれは依然として、支払いや引き出しにプラスチック製のカードを使用しています。これらのカードに適切な保護が施されていない場合、不正な取引や現金引き出しのために攻撃者に悪用される可能性があります。

[en] Interview

Q1 What led you to making this presentation?
Some of our clients' customers in the financial sector were compromised by NGate malware that exploited relaying of NFC data from contactless payment card data via the victim’s smartphone, forwarded them to an adversary device, enabling unauthorized ATM withdrawals. Additionally, the threat actor used social engineering to obtain the card’s PIN code.

Q2 What were some challenges you faced during this research?
We faced challenges replicating the attack scenario due to limited support across various smartphones and Android versions. Interestingly, during our real-world testing, we attracted attention while moving between ATMs with a camera, two smartphones, and a card, and were fortunate that no one reported us to the authorities.

Q3 What message would you like to convey to those considering attending this talk?
We still rely on plastic cards for payments and withdrawals. If these cards lack proper protection, they can be exploited by attackers for unauthorized transactions or money withdrawal.