NGate Mobile -haittaohjelma
Kyberturvallisuustutkijat ovat tunnistaneet uuden Android-haittaohjelman, joka pystyy välittämään uhrien kontaktittomia maksutietoja fyysisiltä luotto- ja pankkikorteilta hyökkääjien hallitsemaan laitteeseen, mikä mahdollistaa vilpilliset tapahtumat.
Tämä haittaohjelma, joka tunnetaan nimellä NGate, kohdistuu ensisijaisesti kolmeen pankkiin Tšekin tasavallassa. NGate toimii siirtämällä maksukortin tiedot uhrin Android-laitteelta, johon on asennettu uhkaava sovellus, hyökkääjän juurtuneeseen Android-puhelimeen.
Tämä operaatio on osa laajempaa kampanjaa, joka on ollut aktiivinen marraskuusta 2023 lähtien ja joka on kohdistettu Tšekin rahoituslaitoksiin vaarantuneiden progressiivisten verkkosovellusten (PWA) ja WebAPK:iden kautta. Ensimmäinen tunnettu NGate-tapaus havaittiin maaliskuussa 2024.
Sisällysluettelo
Uhkanäyttelijät yrittävät kerätä maksukorttitietoja
Näiden hyökkäysten ensisijaisena tavoitteena on kloonata NFC-tiedot uhrien fyysisiltä maksukorteilta NGatella. Kerätyt tiedot siirretään sitten hyökkääjän ohjaamaan laitteeseen, joka emuloi alkuperäistä korttia rahan nostamiseksi pankkiautomaatista.
NGate sai alkunsa laillisesta työkalusta nimeltä NFCGate, joka kehitettiin alun perin vuonna 2015 turvallisuustutkimustarkoituksiin.
Hyökkäysstrategiaan liittyy todennäköisesti sekoitus sosiaalista manipulointia ja tekstiviestien tietojenkalastelua, jossa käyttäjät huijataan asentamaan NGate ohjaamalla heidät lyhytikäisille verkkotunnuksille, jotka jäljittelevät laillisia pankkisivustoja tai virallisia mobiilipankkisovelluksia Google Play -kaupassa.
Useita uhkaavia NGate-sovelluksia paljastettiin
Marraskuun 2023 ja maaliskuun 2024 välisenä aikana tunnistettiin kuusi erilaista NGate-hakemusta, ennen kuin toiminta todennäköisesti keskeytettiin, koska Tšekin viranomaiset pidättivät 22-vuotiaan miehen pankkiautomaattivarastojen yhteydessä.
NGate ei vain hyödynnä NFCGaten toimintoja NFC-liikenteen kaappaamiseen ja välittämiseen toiselle laitteelle, vaan myös kehottaa käyttäjiä syöttämään arkaluontoisia taloustietoja, kuten pankkiasiakastunnuksensa, syntymäaikansa ja kortin PIN-koodin. Tämä tietojenkalastelusivu näytetään WebView'ssa.
Lisäksi sovellus kehottaa käyttäjiä ottamaan NFC-ominaisuuden käyttöön älypuhelimissaan ja pitämään maksukorttiaan laitteen takaosaa vasten, kunnes haittasovellus tunnistaa kortin.
Hyökkääjät kutsuvat uhreja hyödyntämään heitä edelleen
Hyökkäyksissä käytetään lisäksi salakavala lähestymistapaa, jossa uhrit, kun he ovat asentaneet PWA- tai WebAPK-sovelluksen tekstiviesteillä lähetettyjen linkkien kautta, kalastellaan ja saavat myöhemmin puheluita uhkatekijältä, joka teeskentelee olevansa pankin työntekijä ja ilmoittaa heille, että heidän pankkitilinsä oli vaarantunut sovelluksen asennuksen seurauksena.
Myöhemmin heitä kehotetaan vaihtamaan PIN-koodi ja vahvistamaan pankkikorttinsa toisella mobiilisovelluksella (esim. NGate), johon lähetetään myös tekstiviestinä asennuslinkki. Ei ole näyttöä siitä, että näitä sovelluksia olisi jaettu Google Play Kaupan kautta.
NGate käyttää kahta erillistä palvelinta helpottaakseen toimintaansa. Ensimmäinen on tietojenkalastelusivusto, joka on suunniteltu houkuttelemaan uhrit antamaan arkaluontoisia tietoja ja joka pystyy käynnistämään NFC-välityshyökkäyksen. Toinen on NFCGate-välityspalvelin, jonka tehtävänä on ohjata NFC-liikennettä uhrin laitteelta hyökkääjän laitteelle.
