NGate البرامج الضارة للهواتف المحمولة
تمكن باحثو الأمن السيبراني من تحديد برنامج ضار جديد يعمل بنظام Android قادر على نقل بيانات الدفع غير التلامسية للضحايا من بطاقات الائتمان والخصم المادية إلى جهاز يتحكم فيه المهاجمون، مما يتيح إجراء معاملات احتيالية.
يستهدف هذا البرنامج الخبيث المعروف باسم NGate ثلاثة بنوك في جمهورية التشيك. ويعمل NGate عن طريق نقل بيانات بطاقات الدفع من جهاز Android الخاص بالضحية، حيث تم تثبيت تطبيق تهديد، إلى هاتف Android الخاص بالمهاجم.
تعد هذه العملية جزءًا من حملة أوسع نطاقًا، نشطة منذ نوفمبر 2023، تستهدف المؤسسات المالية في جمهورية التشيك من خلال تطبيقات الويب التقدمية (PWAs) وملفات WebAPK المخترقة. تم اكتشاف أول حالة معروفة لـ NGate في مارس 2024.
جدول المحتويات
الجهات الفاعلة المهددة تحاول الحصول على تفاصيل بطاقات الدفع
الهدف الأساسي من هذه الهجمات هو استنساخ بيانات الاتصال قريب المدى (NFC) من بطاقات الدفع المادية للضحايا باستخدام NGate. ثم يتم نقل المعلومات المحصودة إلى جهاز يتحكم فيه المهاجم، والذي يحاكي البطاقة الأصلية لسحب الأموال من ماكينة الصراف الآلي.
نشأ NGate من أداة شرعية تسمى NFCGate، والتي تم تطويرها في البداية في عام 2015 لأغراض البحث الأمني.
ومن المرجح أن تتضمن استراتيجية الهجوم مزيجًا من الهندسة الاجتماعية وصيد الرسائل النصية القصيرة، حيث يتم خداع المستخدمين لتثبيت NGate من خلال إعادة توجيههم إلى نطاقات قصيرة العمر تحاكي مواقع الويب المصرفية المشروعة أو تطبيقات الخدمات المصرفية عبر الهاتف المحمول الرسمية على متجر Google Play.
تم الكشف عن العديد من تطبيقات NGate المهددة
في الفترة ما بين نوفمبر 2023 ومارس 2024، تم تحديد ستة تطبيقات NGate مختلفة قبل أن تتوقف الأنشطة على الأرجح بسبب اعتقال السلطات التشيكية لشخص يبلغ من العمر 22 عامًا فيما يتعلق بسرقة أموال أجهزة الصراف الآلي.
لا يستغل NGate وظيفة NFCGate لالتقاط حركة مرور NFC ونقلها إلى جهاز آخر فحسب، بل يطلب أيضًا من المستخدمين إدخال معلومات مالية حساسة، مثل معرف العميل المصرفي وتاريخ الميلاد ورقم التعريف الشخصي للبطاقة. يتم عرض صفحة التصيد هذه داخل WebView.
بالإضافة إلى ذلك، يطلب التطبيق من المستخدمين تفعيل ميزة NFC على هواتفهم الذكية وإمساك بطاقة الدفع الخاصة بهم على الجزء الخلفي من الجهاز حتى يتعرف التطبيق الخبيث على البطاقة.
المهاجمون يتصلون بالضحايا لاستغلالهم بشكل أكبر
وتتبنى الهجمات نهجًا خبيثًا يتمثل في أن الضحايا، بعد تثبيت تطبيق PWA أو WebAPK من خلال الروابط المرسلة عبر رسائل SMS، يتعرضون لسرقة بيانات اعتمادهم ثم يتلقون مكالمات من الجهة المهددة، التي تتظاهر بأنها موظف في البنك وتبلغهم بأن حسابهم المصرفي قد تعرض للاختراق نتيجة لتثبيت التطبيق.
وبعد ذلك، يُطلب منهم تغيير رقم التعريف الشخصي الخاص بهم والتحقق من صحة بطاقاتهم المصرفية باستخدام تطبيق جوال مختلف (مثل NGate)، ويتم إرسال رابط التثبيت الخاص به أيضًا عبر الرسائل القصيرة. ولا يوجد دليل على أن هذه التطبيقات تم توزيعها من خلال متجر Google Play.
تستخدم NGate خادمين مختلفين لتسهيل عملياتها. الأول عبارة عن موقع ويب للتصيد الاحتيالي مصمم لإغراء الضحايا بتقديم معلومات حساسة وقادر على بدء هجوم إعادة توجيه NFC. والثاني عبارة عن خادم إعادة توجيه NFCGate مكلف بإعادة توجيه حركة مرور NFC من جهاز الضحية إلى جهاز المهاجم.
