Il governo ha recentemente imposto un mandato vincolante per le SIM per le piattaforme di messaggistica e finanziarie, con l’intento di frenare le frodi digitali e l’abuso di identità. Secondo il Dipartimento delle Telecomunicazioni (DoT), questa mossa ha lo scopo di garantire che servizi come le piattaforme di messaggistica e le app UPI siano collegati alla carta SIM sul dispositivo principale dell’utente, riducendo la facilità di acquisizione dell’account. I ricercatori di sicurezza informatica hanno ora identificato un toolkit progettato per aggirare queste restrizioni prendendo di mira direttamente il sistema operativo Android, intercettando i messaggi e accedendo agli account UPI delle vittime falsificando il processo di autorizzazione e inducendo il sistema a pensare che sia legittimo.
Aggiornamento (11 marzo, 16:20): Questo articolo è stato aggiornato per riflettere una dichiarazione della National Payments Corporation of India (NPCI) in risposta al rapporto di CloudSEK e il titolo è stato aggiornato di conseguenza.
I ricercatori della società di sicurezza informatica CloudSEK lo hanno fatto identificato un toolkit antifrode denominato Digital Lutera, che consente ai criminali informatici di aggirare il meccanismo di verifica basato su SIM recentemente introdotto utilizzato per i sistemi di pagamento digitale in India. Digital Lutera è stata identificata dai ricercatori utilizzando i risultati forniti dalla società di sicurezza informatica denominata CloudSEK. Questo toolkit antifrode viene utilizzato per aggirare i sistemi di pagamento digitale utilizzando conti bancari collegati a UPI e verifica OTP basata su SMS.
A differenza del malware tradizionale che prende di mira direttamente le app bancarie, Digital Lutera funziona modificando il comportamento a livello di sistema sui dispositivi Android, secondo l’azienda. Si afferma che il toolkit utilizzi LSPosed, un framework che consente l’inserimento di moduli personalizzati nell’ambiente runtime Android. Con LSPosed è possibile intercettare le funzioni del sistema, comprese quelle responsabili della gestione degli SMS in entrata.
CloudSEK ha scoperto che il toolkit malware si sta diffondendo tramite i gruppi Telegram, dove gli aggressori condividono informazioni sulle operazioni di frode finanziaria. I ricercatori hanno trovato oltre 20 gruppi Telegram, ognuno dei quali ha diversi membri.
Come avviene l’attacco
L’attacco si basa sull’alterazione del comportamento del sistema Android piuttosto che sull’irruzione nell’app di pagamento stessa. Secondo CloudSEK, si svolge in più fasi. Tutto inizia quando la vittima installa inconsapevolmente un’applicazione Android dannosa, spesso mascherata da qualcosa di innocuo, come un avviso di sfida al traffico o un APK di invito a nozze.
Queste app trojan richiedono autorizzazioni come lettura e scrittura SMS. Si dice che il malware funzioni silenziosamente in background e inoltri i messaggi di verifica in arrivo all’aggressore tramite i moduli LSPosed. Utilizzando questo accesso, l’aggressore tenta di accedere all’account della vittima tramite una versione modificata dell’app sul proprio dispositivo.
Una volta che il servizio invia una OTP per accedere all’account della vittima al numero di telefono della vittima, questa viene intercettata dal Trojan e inoltrata all’aggressore. L’app genera quindi un token di associazione del dispositivo, comunemente utilizzato dalle banche per verificare la legittimità del dispositivo.
Poiché il messaggio proviene dalla carta SIM della vittima, la rete di telecomunicazioni lo identifica automaticamente come legittimo, ha osservato la società di sicurezza informatica. Una volta collegato correttamente il dispositivo, CloudSEK ha affermato che l’aggressore può attivare una richiesta di reimpostazione del PIN UPI. Ciò consente all’aggressore di impostare un nuovo PIN UPI e ottenere il pieno controllo del conto di pagamento della vittima, consentendo transazioni non autorizzate.
I ricercatori affermano che l’attacco funziona perché molti sistemi finanziari si affidano al numero di cellulare fornito dalle reti di telecomunicazioni come prova della proprietà del dispositivo. Secondo l’azienda, le vittime potrebbero non essere a conoscenza del fatto che il loro account UPI sia stato registrato o sia stato effettuato l’accesso su un altro dispositivo poiché l’attacco avviene silenziosamente.
CloudSEK ha affermato di aver divulgato responsabilmente i propri risultati alle istituzioni finanziarie e alle autorità per aiutarle a elaborare strategie di mitigazione, prima che il suo rapporto fosse pubblicato.
La National Payments Corporation of India (NPCI) ha risposto alle affermazioni avanzate da CloudSEK. In una dichiarazione fornita a Gadgets 360 mercoledì, un portavoce dell’organizzazione ha dichiarato:
“Ciò si riferisce a recenti resoconti dei media che citano un rapporto su alcuni modus operandi legati alle frodi che utilizzano la tecnologia più recente per aggirare il vincolo del dispositivo UPI.
L’NPCI ha esaminato il rapporto e chiarisce che sono già in atto controlli e garanzie robuste per affrontare tali rischi. UPI è progettato con più livelli di sicurezza e meccanismi di autenticazione per garantire che le transazioni rimangano sicure e protette.
NPCI continua a lavorare a stretto contatto con le banche e i partner dell’ecosistema per monitorare i rischi e rafforzare le misure di sicurezza, garantendo che i pagamenti digitali rimangano sicuri e affidabili per gli utenti”.
