PWAとNFCを使った攻撃キャンペーンの事例が興味深かった

PWAとNFCを使った攻撃キャンペーンの事例が興味深かったので情報を整理してブログに残します。

目次

• 事例1 PWAアプリを使って銀行の認証情報を取得する
• 事例2 PWA+NFC機能を使ってカード情報を読み取り、決済
• CodeBlue 2024でも発表された
• 最後に

事例1 PWAアプリを使って銀行の認証情報を取得する

Hackers steal banking creds from iOS, Android users via PWA apps

攻撃キャンペーン概要

攻撃者はSMSや電話、広告を使ってターゲットにPWAをダウンロードさせる。 この事例の場合は銀行の認証情報を狙っている。 下記のような誘い文句でアプリのインストールを促す。

• 銀行のアプリにセキュリティの脆弱性があったから新しいバージョンをインストールしてください。
• 銀行の新しいアプリからキャンペーンに申し込んでくれたらポイントを配布します。

この時、広告に銀行の公式キャラクターを入れるなどして、銀行からの正規の情報発信であるかのように装う。 広告などからURLを踏ませるとGoogle PlayやApp Storeに似せたWebサイトを表示させ、インストールボタンからPWAをダウンロードさせる。

本物そっくりの偽のアプリストアからダウンロードさせることで、攻撃ターゲットの不信感を減らすとともに、アプリストアのセキュリティ制限を回避する。 そしてPWA形式にすることで、通常アプリをインストールするときに必要な端末の各種権限の許可を回避する。

PWAの認証画面からターゲットの認証情報を取得する。 攻撃に気づかれにくくするためにWeb APKの技術を使う場合もあるらしい。Web APKを使っている場合は、見た目から偽アプリを判断するのは不可能。

事例2 PWA+NFC機能を使ってカード情報を読み取り、決済

New NGate Android malware uses NFC chip to steal credit card data

攻撃キャンペーン概要

PWAをダウンロードさせるところまでは事例1と同じ。 NFCを使う事例の場合、PWAをダウンロードしたあと、NFCを操作するNGateというマルウェアをインストールする。 NGateはNFCのテスト用に公開されているNFC Gateが組み込まれている。

nfcgate/nfcgate: An NFC research toolkit application for Android

NGateのインストールが完了すると、攻撃者は銀行員を装ってターゲットに電話をする。 電話でPINを聞き出し、NFCでカードの情報を読み取り、読み取ったカード情報を攻撃者の機器に送信。 攻撃者側の機器で決済をする。

NFCを使った決済以外にも、入館証などの非接触型カードのデータをコピーしてクローンを作成することで、本来制限された場所に侵入されるといった可能性もある。

CodeBlue 2024でも発表された

事例1と事例2は2024年8月ごろにBleeping Computerで見かけて、「なるほどなぁ」と思った事例でした。 ただ、記事を読むだけだと「NFCでカード情報を読み取ったあとのタイミングはどれくらいシビアなのか？」などのいくつかの疑問が残っていました。

CodeBlueのレポートを見ているときに、たまたまこの事例の発表内容を見つけ、疑問に思っていた内容のいくつかが解決しました。

[レポート]NGate：NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp | DevelopersIO

最後に

今回記載した攻撃キャンペーンはまだ事例が少なく、攻撃に積極的に活用されているわけではありません。 しかしPWAやNFCといった技術は攻撃者にとって便利なので、今後攻撃に活用される可能性も十分にあります。

身を守るためにはまずは攻撃者の手口を知っておく必要があるので、PWAのサンプルアプリを作って仕様や制限事項を確認しておきたいと思いました。