Κακόβουλο λογισμικό NGate Mobile
Ερευνητές κυβερνοασφάλειας εντόπισαν ένα νέο κακόβουλο λογισμικό Android ικανό να μεταφέρει δεδομένα ανέπαφων πληρωμών των θυμάτων από φυσικές πιστωτικές και χρεωστικές κάρτες σε μια συσκευή που ελέγχεται από εισβολείς, επιτρέποντας δόλιες συναλλαγές.
Αυτό το κακόβουλο λογισμικό, γνωστό ως NGate, στοχεύει κυρίως τρεις τράπεζες στην Τσεχική Δημοκρατία. Το NGate λειτουργεί μεταφέροντας δεδομένα κάρτας πληρωμής από τη συσκευή Android του θύματος, όπου έχει εγκατασταθεί μια απειλητική εφαρμογή, στο ριζωμένο τηλέφωνο Android του εισβολέα.
Αυτή η λειτουργία αποτελεί μέρος μιας ευρύτερης καμπάνιας, που δραστηριοποιείται από τον Νοέμβριο του 2023, που στοχεύει χρηματοπιστωτικά ιδρύματα στην Τσεχία μέσω παραβιασμένων προοδευτικών εφαρμογών Ιστού (PWA) και WebAPK. Η πρώτη γνωστή παρουσία του NGate εντοπίστηκε τον Μάρτιο του 2024.
Πίνακας περιεχομένων
Ηθοποιοί απειλών Προσπαθούν να συλλέξουν τα στοιχεία της κάρτας πληρωμής
Ο πρωταρχικός στόχος αυτών των επιθέσεων είναι η κλωνοποίηση δεδομένων επικοινωνίας κοντινού πεδίου (NFC) από φυσικές κάρτες πληρωμών των θυμάτων χρησιμοποιώντας το NGate. Οι πληροφορίες που συλλέγονται στη συνέχεια μεταδίδονται σε μια συσκευή που ελέγχεται από τον εισβολέα, η οποία μιμείται την αρχική κάρτα για ανάληψη χρημάτων από ένα ΑΤΜ.
Το NGate προέρχεται από ένα νόμιμο εργαλείο που ονομάζεται NFCGate, το οποίο αναπτύχθηκε αρχικά το 2015 για ερευνητικούς σκοπούς ασφάλειας.
Η στρατηγική επίθεσης πιθανότατα περιλαμβάνει έναν συνδυασμό κοινωνικής μηχανικής και ηλεκτρονικού ψαρέματος μέσω SMS, όπου οι χρήστες εξαπατούν να εγκαταστήσουν το NGate ανακατευθυνόμενοι σε βραχυπρόθεσμους τομείς που μιμούνται νόμιμους τραπεζικούς ιστότοπους ή επίσημες εφαρμογές mobile banking στο Google Play store.
Αρκετές απειλητικές εφαρμογές NGate αποκαλύφθηκαν
Από τον Νοέμβριο του 2023 έως τον Μάρτιο του 2024, εντοπίστηκαν έξι διαφορετικές εφαρμογές NGate προτού πιθανώς να σταματήσουν οι δραστηριότητες λόγω της σύλληψης ενός 22χρονου από τις τσεχικές αρχές σε σχέση με κλοπή κεφαλαίων ΑΤΜ.
Το NGate όχι μόνο εκμεταλλεύεται τη λειτουργικότητα του NFCGate για την καταγραφή και τη μετάδοση κίνησης NFC σε άλλη συσκευή, αλλά προτρέπει επίσης τους χρήστες να εισαγάγουν ευαίσθητες οικονομικές πληροφορίες, όπως το αναγνωριστικό τραπεζικού πελάτη, την ημερομηνία γέννησης και το PIN της κάρτας. Αυτή η σελίδα phishing εμφανίζεται σε μια προβολή Web.
Επιπλέον, η εφαρμογή καθοδηγεί τους χρήστες να ενεργοποιήσουν τη λειτουργία NFC στα smartphone τους και να κρατούν την κάρτα πληρωμής στο πίσω μέρος της συσκευής μέχρι να αναγνωριστεί η κάρτα από την κακόβουλη εφαρμογή.
Οι επιτιθέμενοι καλούν τα θύματα να τα εκμεταλλευτούν περαιτέρω
Οι επιθέσεις υιοθετούν περαιτέρω μια ύπουλη προσέγγιση, καθώς τα θύματα, αφού έχουν εγκαταστήσει την εφαρμογή PWA ή WebAPK μέσω συνδέσμων που αποστέλλονται μέσω μηνυμάτων SMS, υφίστανται ψάρεμα των διαπιστευτήριών τους και στη συνέχεια λαμβάνουν κλήσεις από τον παράγοντα απειλών, ο οποίος προσποιείται ότι είναι τραπεζικός υπάλληλος και τα ενημερώνει ότι Ο τραπεζικός τους λογαριασμός είχε παραβιαστεί ως αποτέλεσμα της εγκατάστασης της εφαρμογής.
Στη συνέχεια, τους δίνεται εντολή να αλλάξουν το PIN τους και να επικυρώσουν την τραπεζική τους κάρτα χρησιμοποιώντας μια διαφορετική εφαρμογή για κινητά (π.χ. NGate), ένας σύνδεσμος εγκατάστασης στην οποία αποστέλλεται επίσης μέσω SMS. Δεν υπάρχουν στοιχεία ότι αυτές οι εφαρμογές διανεμήθηκαν μέσω του Google Play Store.
Το NGate χρησιμοποιεί δύο διαφορετικούς διακομιστές για να διευκολύνει τις λειτουργίες του. Ο πρώτος είναι ένας ιστότοπος ηλεκτρονικού ψαρέματος που έχει σχεδιαστεί για να παρασύρει τα θύματα να παρέχουν ευαίσθητες πληροφορίες και είναι ικανός να ξεκινήσει μια επίθεση αναμετάδοσης NFC. Ο δεύτερος είναι ένας διακομιστής αναμετάδοσης NFCGate με αποστολή να ανακατευθύνει την κυκλοφορία NFC από τη συσκευή του θύματος στη συσκευή του εισβολέα.
