NGate Mobile pahavara
Küberturbeteadlased on tuvastanud uue Androidi pahavara, mis suudab edastada ohvrite kontaktivabad makseandmed füüsilistelt krediit- ja deebetkaartidelt ründajate juhitavasse seadmesse, võimaldades petturlikke tehinguid.
See pahavara, tuntud kui NGate, on peamiselt suunatud kolmele pangale Tšehhi Vabariigis. NGate töötab, edastades maksekaardi andmed ohvri Android-seadmest, kuhu on installitud ähvardav rakendus, ründaja juurtega Android-telefoni.
See toiming on osa laiemast kampaaniast, mis on aktiivne alates 2023. aasta novembrist ja mis on suunatud Tšehhi finantsasutustele ohustatud progressiivsete veebirakenduste (PWA) ja WebAPK-de kaudu. Esimene teadaolev NGate'i juhtum tuvastati 2024. aasta märtsis.
Sisukord
Ohunäitlejad püüavad koguda maksekaardi üksikasju
Nende rünnakute peamine eesmärk on kloonida NGate abil ohvrite füüsilistelt maksekaartidelt lähiväljaside (NFC) andmeid. Kogutud teave edastatakse seejärel ründaja juhitavasse seadmesse, mis jäljendab sularahaautomaadist raha väljavõtmiseks algset kaarti.
NGate sai alguse seaduslikust tööriistast nimega NFCGate, mis töötati algselt välja 2015. aastal turvauuringute eesmärgil.
Tõenäoliselt hõlmab ründestrateegia segu sotsiaalsest manipuleerimisest ja SMS-i andmepüügist, kus kasutajaid petetakse installima NGate'i, suunates nad ümber lühiajalistele domeenidele, mis jäljendavad Google Play poe seaduslikke pangaveebisaite või ametlikke mobiilipanga rakendusi.
Avastati mitu ähvardavat NGate'i rakendust
Ajavahemikus 2023. aasta novembrist 2024. aasta märtsini tuvastati kuus erinevat NGate'i rakendust, enne kui tegevus tõenäoliselt peatati, kuna Tšehhi ametivõimud vahistasid 22-aastase noormehe seoses sularahaautomaadi vargusega.
NGate mitte ainult ei kasuta NFCGate'i funktsioone NFC-liikluse hõivamiseks ja edastamiseks teisele seadmele, vaid palub kasutajatel sisestada ka tundlikku finantsteavet, nagu pangakliendi ID, sünnikuupäev ja kaardi PIN-kood. See andmepüügileht kuvatakse WebView's.
Lisaks juhendab rakendus kasutajaid lubama oma nutitelefonides NFC-funktsiooni ja hoidma oma maksekaarti vastu seadme tagaosa, kuni pahatahtlik rakendus kaardi ära tunneb.
Ründajad kutsuvad ohvreid üles, et neid edasi kasutada
Rünnakud kasutavad lisaks salakavalat lähenemist, et pärast SMS-i kaudu saadetud linkide kaudu PWA või WebAPK rakenduse installimist ohvrite volikirjad püütakse andmepüügiga ja seejärel saavad nad kõnesid ohus osalejalt, kes teeskleb pangatöötajat ja teatab neile, et nende pangakonto oli rakenduse installimise tõttu ohustatud.
Seejärel antakse neile juhend PIN-koodi muutmiseks ja pangakaardi valideerimiseks mõne teise mobiilirakenduse (st NGate) abil, mille installilink saadetakse ka SMS-i teel. Puuduvad tõendid selle kohta, et neid rakendusi levitati Google Play poe kaudu.
NGate kasutab oma toimingute hõlbustamiseks kahte erinevat serverit. Esimene neist on andmepüügi veebisait, mis on loodud ohvrite meelitamiseks tundlikku teavet pakkuma ja mis on võimeline algatama NFC-releerünnaku. Teine on NFCGate'i releeserver, mille ülesandeks on suunata NFC-liiklus ohvri seadmest ründaja seadmesse.
