O Prilex é um software malicioso (malware) desenvolvido para explorar vulnerabilidades de cartões de crédito, chips e PINs de destino de uma transação, nos chamados Point-of-Sales (PoS). Identificado desde 2014, este malware teve agora três novas variantes descobertas pela Kaspersky. As modificações Prilex descobertas podem agora bloquear transações contactless próximo do campo (NFC) em dispositivos infetados, forçando os clientes a utilizar os seus cartões de crédito físicos, permitindo que os criminosos informáticos roubem dinheiro.
De acordo com a Kaspersky, o Prillex conduz os chamados ataques “Ghost”, permitindo-lhes realizar fraudes com cartões de crédito – mesmo em cartões protegidos com a suposta tecnologia Chip e PIN. Agora, o Prilex foi ainda mais longe.
Os peritos em segurança interrogaram-se se o Prilex seria capaz de captar dados provenientes de cartões de crédito habilitados pelo NFC. Recentemente, durante uma resposta a um incidente para um cliente afetado pelo Prilex, os investigadores da Kaspersky descobriram três novas modificações com o poder de bloquear transações de pagamento sem contato, que se tornaram cada vez mais populares.
Os sistemas de pagamento contactless, tais como cartões de crédito e débito, key fobs e outros dispositivos inteligentes, incluindo dispositivos móveis, têm tradicionalmente caracterizado a Radio-Frequency Identification (RFID). Mais recentemente a Samsung Pay, o Apple Pay, o Google Pay, o Fitbit Pay e outras aplicações bancárias móveis implementaram tecnologia de Near-Field Communication (NFC) para apoiar transações seguras sem contacto.
“Os cartões de crédito sem contacto oferecem uma forma conveniente e segura de fazer pagamentos sem a necessidade física de inserir ou deslizar o cartão. No entanto, o Prilex ‘aprendeu’ a bloquear tais transações, implementando um ficheiro baseado em regras que especifica se deve ou não capturar informações sobre cartões de crédito, e uma opção para bloquear transações baseadas em NFC. Como as transações baseadas em NFC geram um número de cartão único válido apenas para uma transação, se o Prilex detetar uma transação baseada em NFC e a bloquear, o software EFT programará o PIN pad para mostrar uma mensagem de ‘Erro aproximação. Insira o cartão’” ou ‘Erro contactless, insira o seu cartão’”.
O Prilex simula um erro na transação para poder solicitar a inserção da senha para concluir o pagamento.
Explica a Kaspersky, que o objetivo dos criminosos informáticos é forçar a vítima a utilizar o seu cartão físico, inserindo-o no leitor de PIN pad, para que o malware possa capturar dados provenientes da transação, utilizando todos os meios disponíveis para o Prilex, tais como a manipulação de criptogramas para realizar ataques Ghost.
“Outra nova característica adicionada às últimas amostras do Prilex é a possibilidade de filtrar cartões de crédito de acordo com o seu segmento, e criar regras diferentes para segmentos diferentes. Por exemplo, podem bloquear NFC e capturar dados do cartão, apenas se o cartão foi Black/Infinite, Corporate ou outro com limite de transação elevado, o que é muito mais atrativo do que os cartões de crédito normais, com saldo/limite baixo”, referem estes especialistas.
Detetado em 2014, agora evoluiu
O Prilex tem vindo a operar na região da América Latina desde 2014 e está alegadamente por trás de um dos maiores ataques na região. Durante o Carnaval do Rio de Janeiro em 2016, foi responsável por clonar mais de 28.000 cartões de crédito e esvaziar mais de 1.000 caixas de multibanco nos bancos brasileiros. Agora, expandiu os seus ataques a nível mundial. Foi detetado na Alemanha em 2019 quando um gangue criminoso clonou cartões de débito Mastercard emitidos pelo banco alemão OLB e retirou mais de 1,5 milhões de euros de cerca de 2.000 clientes. Quanto às modificações recentemente descobertas, foram detetadas no Brasil – no entanto, podem também alastrar a outros países e regiões, alerta a Kaspersky.
“Os pagamentos contactless fazem agora parte da nossa vida quotidiana e as estatísticas mostram que o segmento retalhista dominou o mercado com mais de 59% das receitas globais sem contacto em 2021. Tais transações são extremamente convenientes e particularmente seguras, por isso é lógico que os criminosos informáticos criem malware que bloqueia os sistemas relacionados com NFC. Como os dados da transação gerados durante o pagamento sem contacto são inúteis na perspetiva de um criminoso informático, é compreensível que o Prilex precise de impedir o pagamento sem contacto para forçar as vítimas a inserir o cartão no terminal PoS infetado”, comenta Fábio Assolini, chefe da Equipa global de Pesquisa e Análise da América Latina (GReAT) na Kaspersky.