NGate Mobile Malware
Cybersikkerhedsforskere har identificeret en ny Android-malware, der er i stand til at videresende ofres kontaktløse betalingsdata fra fysiske kredit- og betalingskort til en enhed, der kontrolleres af angribere, hvilket muliggør svigagtige transaktioner.
Denne malware, kendt som NGate, er primært rettet mod tre banker i Tjekkiet. NGate fungerer ved at overføre betalingskortdata fra et offers Android-enhed, hvor der er installeret en truende applikation, til angriberens rootede Android-telefon.
Denne operation er en del af en bredere kampagne, der har været aktiv siden november 2023, og som er rettet mod finansielle institutioner i Tjekkiet gennem kompromitterede progressive webapplikationer (PWA'er) og WebAPK'er. Den første kendte forekomst af NGate blev opdaget i marts 2024.
Indholdsfortegnelse
Trusselskuespillere forsøger at høste betalingskortoplysninger
Det primære formål med disse angreb er at klone nærfeltskommunikation (NFC) data fra ofres fysiske betalingskort ved hjælp af NGate. Den indsamlede information sendes derefter til en angriberstyret enhed, som emulerer det originale kort for at hæve penge fra en pengeautomat.
NGate stammer fra et legitimt værktøj kaldet NFCGate, som oprindeligt blev udviklet i 2015 til sikkerhedsforskningsformål.
Angrebsstrategien involverer sandsynligvis en blanding af social engineering og SMS-phishing, hvor brugere bliver snydt til at installere NGate ved at blive omdirigeret til kortlivede domæner, der efterligner legitime bankwebsteder eller officielle mobilbankapps i Google Play Butik.
Adskillige truende NGate-applikationer afdækket
Mellem november 2023 og marts 2024 blev seks forskellige NGate-ansøgninger identificeret, før aktiviteterne sandsynligvis blev stoppet på grund af anholdelsen af en 22-årig af de tjekkiske myndigheder i forbindelse med tyveri af pengeautomater.
NGate udnytter ikke kun NFCGates funktionalitet til at fange og videresende NFC-trafik til en anden enhed, men beder også brugere om at indtaste følsomme finansielle oplysninger, såsom deres bankkunde-id, fødselsdato og kort-pinkode. Denne phishing-side vises i en WebView.
Derudover instruerer applikationen brugerne om at aktivere NFC-funktionen på deres smartphones og holde deres betalingskort mod bagsiden af enheden, indtil kortet genkendes af den ondsindede applikation.
Angribere ringer til ofre for yderligere at udnytte dem
Angrebene anlægger yderligere en snigende tilgang, idet ofrene, efter at have installeret PWA- eller WebAPK-appen via links sendt via SMS-beskeder, får deres legitimationsoplysninger phished og efterfølgende modtager opkald fra trusselsaktøren, som udgiver sig for at være en bankansat og informerer dem om, at deres bankkonto var blevet kompromitteret som følge af installationen af programmet.
De bliver efterfølgende bedt om at ændre deres PIN-kode og validere deres bankkort ved hjælp af en anden mobilapplikation (dvs. NGate), et installationslink, hvortil der også sendes via SMS. Der er ingen beviser for, at disse apps blev distribueret gennem Google Play Butik.
NGate bruger to forskellige servere til at lette driften. Den første er et phishing-websted designet til at lokke ofre til at levere følsomme oplysninger og i stand til at starte et NFC-relæangreb. Den anden er en NFCGate-relæserver, der har til opgave at omdirigere NFC-trafik fra ofrets enhed til angriberens.
