بدافزار موبایل NGate
محققان امنیت سایبری یک بدافزار جدید اندرویدی را شناسایی کردهاند که میتواند دادههای پرداخت بدون تماس قربانیان را از کارتهای اعتباری و نقدی فیزیکی به دستگاهی که توسط مهاجمان کنترل میشود منتقل کند و تراکنشهای جعلی را امکانپذیر کند.
این بدافزار که با نام NGate شناخته می شود، در درجه اول سه بانک در جمهوری چک را هدف قرار داده است. NGate با انتقال داده های کارت پرداخت از دستگاه اندروید قربانی، که در آن یک برنامه تهدید آمیز نصب شده است، به تلفن اندرویدی روت شده مهاجم کار می کند.
این عملیات بخشی از یک کمپین گسترده تر است که از نوامبر 2023 فعال است و مؤسسات مالی در چک را از طریق برنامه های کاربردی وب مترقی (PWA) و WebAPK های در معرض خطر هدف قرار می دهد. اولین نمونه شناخته شده NGate در مارس 2024 شناسایی شد.
فهرست مطالب
تلاش بازیگران تهدید برای برداشت جزئیات کارت پرداخت
هدف اصلی این حملات، شبیه سازی داده های ارتباط میدان نزدیک (NFC) از کارت های پرداخت فیزیکی قربانیان با استفاده از NGate است. اطلاعات جمعآوریشده سپس به یک دستگاه کنترلشده توسط مهاجم منتقل میشود، که کارت اصلی را برای برداشت پول از دستگاه خودپرداز تقلید میکند.
NGate از یک ابزار قانونی به نام NFCGate نشات گرفته است که در ابتدا در سال 2015 برای اهداف تحقیقاتی امنیتی توسعه یافت.
استراتژی حمله احتمالاً شامل ترکیبی از مهندسی اجتماعی و فیشینگ پیامکی است که در آن کاربران با هدایت به دامنههای کوتاه مدتی که از وبسایتهای بانکی قانونی یا برنامههای بانکداری تلفن همراه رسمی در فروشگاه Google Play تقلید میکنند، فریب میدهند تا NGate را نصب کنند.
چندین برنامه تهدید کننده NGate کشف شد
بین نوامبر 2023 و مارس 2024، شش برنامه مختلف NGate شناسایی شد قبل از اینکه فعالیتها احتمالاً به دلیل دستگیری یک جوان 22 ساله توسط مقامات چک در ارتباط با سرقت صندوق خودپرداز متوقف شوند.
NGate نه تنها از عملکرد NFCGate برای ضبط و انتقال ترافیک NFC به دستگاه دیگری استفاده میکند، بلکه از کاربران میخواهد اطلاعات مالی حساسی مانند شناسه مشتری بانکی، تاریخ تولد و پین کارت را وارد کنند. این صفحه فیشینگ در یک WebView نمایش داده می شود.
علاوه بر این، این برنامه به کاربران دستور می دهد تا ویژگی NFC را در تلفن های هوشمند خود فعال کنند و کارت پرداخت خود را در پشت دستگاه نگه دارند تا زمانی که کارت توسط برنامه مخرب شناسایی شود.
مهاجمان قربانیان را برای بهره برداری بیشتر از آنها فرا می خوانند
حملات بیشتر رویکرد موذیانه ای را اتخاذ می کنند، به این صورت که قربانیان، پس از نصب برنامه PWA یا WebAPK از طریق پیوندهایی که از طریق پیامک ارسال می شود، اعتبار آنها فیش می شود و متعاقباً از طرف عامل تهدید که تظاهر به کارمند بانک می کند و به آنها اطلاع می دهد که تماس هایی دریافت می کنند. حساب بانکی آنها در نتیجه نصب برنامه به خطر افتاده بود.
متعاقباً به آنها دستور داده می شود که پین خود را تغییر دهند و کارت بانکی خود را با استفاده از یک برنامه تلفن همراه دیگر (به عنوان مثال، NGate) تأیید کنند، که لینک نصب آن نیز از طریق پیامک ارسال می شود. هیچ مدرکی مبنی بر توزیع این برنامه ها از طریق فروشگاه Google Play وجود ندارد.
NGate از دو سرور مجزا برای تسهیل عملیات خود استفاده می کند. اولی یک وب سایت فیشینگ است که برای فریب قربانیان به ارائه اطلاعات حساس طراحی شده و قادر به شروع یک حمله رله NFC است. دومی یک سرور رله NFCGate است که وظیفه دارد ترافیک NFC را از دستگاه قربانی به مهاجم هدایت کند.
