הטרויאני QBot (Qakbot, Pinkslipbot) שוב מושך את תשומת הלב של מומחים. התוכנה הזדונית, הפעילה מאז 2007, נותרה אחת הדוגמאות המתמשכות ביותר של סוסים טרויאניים בנקאיים שהתפתחו לפלטפורמת התקפה רבת עוצמה.
באוגוסט 2024, רשויות אכיפת החוק ערכו מבצע רחב היקף לדיכוי פעילותם של מפעילי QBot. עכשיו ZScaler התגלה
חיבור בין פונקציות QBot ואחרות איומים כולל התוכנה הזדונית Zloader, המשתמשת במנהור DNS כדי להעביר נתונים באופן סמוי.
בְּמַהֲלָך אָנָלִיזָה קבצים זדוניים, חוקרים חשפו פרטים מעניינים. אחת הדוגמאות שזוהו, המכילה ארכיון "pack.dat", כללה מספר רכיבים חשודים, כולל קבצי exe ו-dll שפועלים יחד כדי לפענח קובץ PE נסתר שמפעיל פעילות זדונית נוספת. אלגוריתם ההצפנה RC4 בו נעשה שימוש מעיד על רמה גבוהה של תחכום על ידי פושעי סייבר.
המחקר אישר ש-QBot התפתח, והציג מבנה מודולרי חדש המאפשר להשתמש בטרויאני כפלטפורמה להפעלת מודולים זדוניים אחרים. לדוגמה, מודול BackConnect החדש תוכנן לנטר תהליכים ולשדר מידע על מערכות נגועות דרך ערוצים מוצפנים. מומחים גילו שהמודול משתמש בפונקציות ברמה נמוכה כדי לשלוט בתהליכים ולגשת לרישום של Windows, כמו גם לעקוף מנגנוני אבטחה סטנדרטיים ולנתח את פעולת המערכת.
מעקב נוסף גילה שפעילות QBot קשורה לקמפיין BlackBasta כופר. טקטיקות מודרניות כגון Sideloading מאפשרות לפושעים לפתח התקפות ולעקוף ביעילות את שיטות ההגנה המסורתיות. החוקרים מזהירים כי ניתן להשתמש בטכניקות כאלה להמשך התקפות כופר.
כדי להתמודד עם האיום, ZScaler פרסם חוקי YARA לזיהוי גרסאות חדשות של תוכנות זדוניות. עם זאת, יעילותם של אמצעים תלויה במהירות היישום שלהם במערכות הגנה.
מומחי FACCT חקר תוכנית הונאה חדשה המבוססת על השימוש באפליקציית NFCGate לנייד. לדברי מומחים, בדצמבר 2024 ובינואר 2025 בלבד נרשמו יותר מ-400 התקפות על לקוחות של בנקים מובילים ברוסיה. כמות הנזק הממוצעת הייתה כ -100 אלף רובל.
אפליקציית NFCGate, שפותחה בשנת 2015 על ידי סטודנטים מהאוניברסיטה הטכנית של דרמשטט כפרויקט הוראה, היא תוכנית שנועדה ללכוד, לנטר אָנָלִיזָה תעבורת NFC, על ידי יירוט ושחזור שלה, הופצה באופן חופשי באינטרנט. עם זאת, בנובמבר 2023, הוא שימש לראשונה למטרות פליליות. באוגוסט 2024 התרחשה המתקפה המתועדת הראשונה על לקוחות הבנק הרוסי. פושעים משתמשים באופן פעיל בפונקציה של העברת נתונים בין שני מכשירים שבהם האפליקציה מותקנת.
הונאת NFCGate מורכבת משני שלבים. בשלב הראשון, התוקפים פונים להנדסה חברתית. הנפגע, בתואנה של "הגנה" על כרטיס בנק, פריצת חשבון בפורטל שירותי המדינה, חידוש חוזה סלולרי, החלפת פוליסה רפואית, תשלום עבור שירותים או אישור זהות, מוצע להתקין אפליקציה מיוחדת. זה נראה כמו תוכנה לגיטימית של בנק או שירות ממשלתי, אבל במציאות זו תוכנה זדונית המבוססת על NFCGate.
החברה זיהתה יותר מ-100 דוגמאות ייחודיות של תוכנות זדוניות כאלה עבור אנדרואיד. כדי להסוות את עצמם, התוקפים יוצרים יישומים הדומים בשמם לשירותים רשמיים, למשל: "הגנת כרטיס של הבנק המרכזי של הפדרציה הרוסית", "CBReserve+", "אימות שירותים ממשלתיים" ו"תעודת אבטחה".
בנוסף, פושעים משתמשים בטרויאנים עם גישה מרחוק, כגון CraxRAT, המאפשרים התקנת NFCGate ללא ידיעת המשתמש. תוכניות כאלה מופצות באמצעות שליחים מיידיים בצורה של קבצי APK המחופשים לעדכונים של אפליקציות לגיטימיות, כמו גם יישומים מזויפים של שירותי ממשלה, מפעילי טלקום ו אנטי וירוס עַל יְדֵי.
לאחר התקנת אפליקציה מבוססת NFCGate בסמארטפון של הקורבן, המכשיר של התוקף מקבל אות שהוא מוכן להחלפת נתונים. התוכנה הזדונית מבקשת מהקורבן לעבור אימות על ידי הנחת כרטיס בנק בגב הסמארטפון. כאשר המשתמש נוגע בכרטיס למודול NFC, הנתונים הללו מועברים באופן מיידי לסמארטפון של התוקף. בחלק מהמקרים האפליקציה מבקשת קוד PIN, המועבר גם למכשיר העבריין.
אם תוקף נמצא ליד כספומט ונוגע במכשיר שלו בחיישן ה-NFC שלו, מספיק להזין את קוד ה-PIN שהתקבל מהקורבן כדי לגנוב את כל הכספים מהכרטיס תוך דקה. עם זאת, ייתכן שהגניבה לא תתרחש באופן מיידי: הפונקציונליות של NFCGate מאפשרת לך להקליט את נתוני כרטיס הבנק של הקורבן ולשכפל אותם מאוחר יותר, למשל, כדי לאסום את הכרטיס ולבצע רכישות שלאחר מכן. אם הנפגע לא חוסם את הכרטיס לאחר הראשון תַקרִיתתוקפים יכולים למשוך כסף שוב ושוב.
המחקר של החברה חשף תשתית שרת המאפשרת אחסון נתונים גנובים ויצירת גרסאות מעודכנות של NFCGate עבור התקפות ממוקדות. אנליסטים צופים שתוקפים יכולים להציג תכונות חדשות, כולל יירוט SMS והתראות דחיפה, ולהפיץ תוכנה באמצעות מודל Malware-as-a-Service.
