NGate Mobile Malware
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali nový malware pro Android, který je schopen předávat bezkontaktní platební údaje obětí z fyzických kreditních a debetních karet do zařízení ovládaného útočníky, což umožňuje podvodné transakce.
Tento malware známý jako NGate cílí především na tři banky v České republice. NGate funguje tak, že přenáší data platební karty ze zařízení Android oběti, kde je nainstalována ohrožující aplikace, do rootovaného telefonu s Androidem útočníka.
Tato operace je součástí širší kampaně aktivní od listopadu 2023, která se zaměřuje na finanční instituce v Česku prostřednictvím kompromitovaných progresivních webových aplikací (PWA) a WebAPK. První známá instance NGate byla detekována v březnu 2024.
Obsah
Aktéři hrozeb se snaží získat údaje o platební kartě
Primárním cílem těchto útoků je naklonovat data komunikace na blízkém poli (NFC) z fyzických platebních karet obětí pomocí NGate. Získané informace jsou poté přeneseny do zařízení ovládaného útočníkem, které emuluje původní kartu pro výběr peněz z bankomatu.
NGate vznikl z legitimního nástroje zvaného NFCGate, původně vyvinutého v roce 2015 pro účely výzkumu bezpečnosti.
Strategie útoku pravděpodobně zahrnuje kombinaci sociálního inženýrství a SMS phishingu, kdy jsou uživatelé podvedeni k instalaci NGate tím, že jsou přesměrováni na domény s krátkou životností, které napodobují legitimní bankovní weby nebo oficiální aplikace mobilního bankovnictví v obchodě Google Play.
Odhaleno několik ohrožujících aplikací NGate
Mezi listopadem 2023 a březnem 2024 bylo identifikováno šest různých aplikací NGate, než byly aktivity pravděpodobně zastaveny kvůli zatčení 22letého mladíka českými úřady v souvislosti s krádeží bankomatového fondu.
NGate nejen využívá funkce NFCGate k zachycení a přenosu NFC provozu do jiného zařízení, ale také vyzve uživatele k zadání citlivých finančních informací, jako je jejich bankovní ID klienta, datum narození a PIN karty. Tato phishingová stránka se zobrazuje v rámci WebView.
Kromě toho aplikace instruuje uživatele, aby povolili funkci NFC na svých chytrých telefonech a drželi platební kartu na zadní straně zařízení, dokud kartu nerozpozná škodlivá aplikace.
Útočníci volají obětem, aby je dále využívali
Útoky dále využívají zákeřný přístup v tom, že oběti poté, co si nainstalují aplikaci PWA nebo WebAPK prostřednictvím odkazů zasílaných prostřednictvím SMS zpráv, mají své přihlašovací údaje phishing a následně obdrží hovory od aktéra hrozby, který se vydává za zaměstnance banky a informuje je, že jejich bankovní účet byl kompromitován v důsledku instalace aplikace.
Následně jsou instruováni, aby si změnili PIN a ověřili svou bankovní kartu pomocí jiné mobilní aplikace (tj. NGate), na kterou je rovněž zaslán instalační odkaz prostřednictvím SMS. Neexistuje žádný důkaz, že tyto aplikace byly distribuovány prostřednictvím obchodu Google Play.
NGate používá dva různé servery pro usnadnění svých operací. První je phishingová webová stránka navržená tak, aby nalákala oběti k poskytnutí citlivých informací a byla schopna iniciovat NFC přenosový útok. Druhým je přenosový server NFCGate, jehož úkolem je přesměrovat provoz NFC ze zařízení oběti na zařízení útočníka.
