תוכנה זדונית לנייד של NGate
חוקרי אבטחת סייבר זיהו תוכנה זדונית חדשה של אנדרואיד המסוגלת להעביר נתוני תשלום ללא מגע של קורבנות מכרטיסי אשראי פיזיים וכרטיסי חיוב למכשיר הנשלט על ידי תוקפים, מה שמאפשר עסקאות הונאה.
תוכנה זדונית זו, המכונה NGate, מכוונת בעיקר לשלושה בנקים בצ'כיה. NGate פועלת על ידי העברת נתוני כרטיס תשלום ממכשיר אנדרואיד של הקורבן, שבו הותקנה אפליקציה מאיימת, לטלפון האנדרואיד השורשי של התוקף.
פעולה זו היא חלק ממסע פרסום רחב יותר, הפעיל מאז נובמבר 2023, המכוון למוסדות פיננסיים בצ'כיה באמצעות יישומי אינטרנט פרוגרסיביים (PWAs) ו-WebAPKs. המקרה הידוע הראשון של NGate זוהה במרץ 2024.
תוכן העניינים
שחקני איום מנסים לאסוף פרטי כרטיס תשלום
המטרה העיקרית של התקפות אלו היא לשכפל נתוני תקשורת בשדה קרוב (NFC) מכרטיסי התשלום הפיזיים של הקורבנות באמצעות NGate. המידע שנאסף מועבר לאחר מכן למכשיר הנשלט על ידי תוקף, שמחקה את הכרטיס המקורי כדי למשוך כסף מכספומט.
מקורו של NGate מכלי לגיטימי בשם NFCGate, שפותח לראשונה ב-2015 למטרות מחקר אבטחה.
אסטרטגיית ההתקפה כוללת ככל הנראה שילוב של הנדסה חברתית ודיוג ב-SMS, כאשר משתמשים מוטעים להתקנת NGate על ידי ניתוב לדומיינים קצרי מועד המחקים אתרי בנק חוקיים או אפליקציות בנקאות רשמיות לנייד בחנות Google Play.
נחשפו מספר יישומי NGate מאיימים
בין נובמבר 2023 למרץ 2024, זוהו שש בקשות שונות של NGate לפני שהפעילות כנראה הופסקה עקב מעצרו של צעיר בן 22 על ידי הרשויות הצ'כיות בקשר לגניבת כספומט.
NGate לא רק מנצלת את הפונקציונליות של NFCGate כדי ללכוד ולהעביר תעבורת NFC למכשיר אחר, אלא גם מבקשת מהמשתמשים להזין מידע פיננסי רגיש, כגון מזהה לקוח בנקאי, תאריך לידה ו-PIN של הכרטיס. דף התחזות זה מוצג בתוך WebView.
בנוסף, האפליקציה מורה למשתמשים להפעיל את תכונת ה-NFC בסמארטפונים שלהם ולהחזיק את כרטיס התשלום שלהם כנגד גב המכשיר עד שהכרטיס יזוהה על ידי האפליקציה הזדונית.
התוקפים קוראים לקורבנות לנצל אותם עוד יותר
ההתקפות מאמצות עוד גישה ערמומית בכך שלקורבנות, לאחר שהתקינו את אפליקציית PWA או WebAPK באמצעות קישורים שנשלחו באמצעות הודעות SMS, יתויגו האישורים שלהם ולאחר מכן מקבלים שיחות משחקן האיום, שמתחזה לעובד בנק ומודיע להם כי חשבון הבנק שלהם נפרץ כתוצאה מהתקנת האפליקציה.
לאחר מכן הם מקבלים הוראה לשנות את ה-PIN שלהם ולאמת את כרטיס הבנק שלהם באמצעות אפליקציה אחרת לנייד (כלומר, NGate), קישור התקנה אליו נשלח גם באמצעות SMS. אין ראיות לכך שהאפליקציות הללו הופצו דרך חנות Google Play.
NGate משתמש בשני שרתים נפרדים כדי להקל על הפעולות שלה. הראשון הוא אתר פישינג שנועד לפתות קורבנות לספק מידע רגיש ומסוגל ליזום מתקפת ממסר NFC. השני הוא שרת ממסר NFCGate שמשימה זו היא להפנות תעבורת NFC מהמכשיר של הקורבן למכשיר של התוקף.
