NGate Mobile Malware
Изследователите на киберсигурността са идентифицирали нов злонамерен софтуер за Android, способен да препредава данните за безконтактно плащане на жертвите от физически кредитни и дебитни карти към устройство, контролирано от нападатели, позволявайки измамни транзакции.
Този зловреден софтуер, известен като NGate, е насочен основно към три банки в Чешката република. NGate работи, като прехвърля данни от разплащателна карта от Android устройство на жертвата, където е инсталирано заплашително приложение, към руутнат Android телефон на атакуващия.
Тази операция е част от по-широка кампания, активна от ноември 2023 г., която е насочена към финансови институции в Чехия чрез компрометирани прогресивни уеб приложения (PWA) и WebAPK. Първият известен екземпляр на NGate беше открит през март 2024 г.
Съдържание
Актьори на заплахи се опитват да съберат подробности за разплащателна карта
Основната цел на тези атаки е да клонират данни за комуникация в близко поле (NFC) от физически разплащателни карти на жертвите с помощта на NGate. След това събраната информация се предава на контролирано от нападателя устройство, което емулира оригиналната карта за теглене на пари от банкомат.
NGate произхожда от легитимен инструмент, наречен NFCGate, първоначално разработен през 2015 г. за целите на изследване на сигурността.
Стратегията за атака вероятно включва комбинация от социално инженерство и SMS фишинг, при което потребителите са измамени да инсталират NGate, като бъдат пренасочени към краткотрайни домейни, които имитират легитимни банкови уебсайтове или официални приложения за мобилно банкиране в магазина на Google Play.
Разкрити са няколко заплашителни NGate приложения
Между ноември 2023 г. и март 2024 г. бяха идентифицирани шест различни приложения на NGate, преди дейностите вероятно да бъдат спрени поради ареста на 22-годишен от чешките власти във връзка с кражба на средства от банкомат.
NGate не само използва функционалността на NFCGate за улавяне и предаване на NFC трафик към друго устройство, но също така подканва потребителите да въведат чувствителна финансова информация, като техния банков клиентски идентификатор, дата на раждане и ПИН на картата. Тази фишинг страница се показва в WebView.
Освен това приложението инструктира потребителите да активират функцията NFC на своите смартфони и да държат картата си за плащане срещу гърба на устройството, докато картата бъде разпозната от злонамереното приложение.
Нападателите се обаждат на жертвите, за да ги експлоатират допълнително
Освен това атаките възприемат коварен подход, при който жертвите, след като са инсталирали приложението PWA или WebAPK чрез връзки, изпратени чрез SMS съобщения, идентификационните си данни се фишират и впоследствие получават обаждания от заплахата, който се представя за банков служител и ги информира, че тяхната банкова сметка е била компрометирана в резултат на инсталиране на приложението.
Впоследствие те са инструктирани да променят своя ПИН и да валидират своята банкова карта с помощта на различно мобилно приложение (т.е. NGate), линк за инсталиране към което също се изпраща чрез SMS. Няма доказателства, че тези приложения са били разпространявани чрез Google Play Store.
NGate използва два отделни сървъра, за да улесни своите операции. Първият е фишинг уебсайт, предназначен да примами жертвите да предоставят чувствителна информация и способен да инициира NFC релейна атака. Вторият е релейен сървър NFCGate, който има за задача да пренасочи NFC трафика от устройството на жертвата към това на нападателя.
