एनगेट मोबाइल मैलवेयर
साइबर सुरक्षा शोधकर्ताओं ने एक नए एंड्रॉयड मैलवेयर की पहचान की है, जो पीड़ितों के भौतिक क्रेडिट और डेबिट कार्ड से संपर्क रहित भुगतान डेटा को हमलावरों द्वारा नियंत्रित डिवाइस पर रिले करने में सक्षम है, जिससे धोखाधड़ी वाले लेनदेन संभव हो सकते हैं।
एनगेट नाम का यह मैलवेयर मुख्य रूप से चेक गणराज्य के तीन बैंकों को निशाना बना रहा है। एनगेट पीड़ित के एंड्रॉयड डिवाइस से भुगतान कार्ड डेटा को हमलावर के रूट किए गए एंड्रॉयड फोन में स्थानांतरित करके काम करता है, जहां एक खतरनाक एप्लिकेशन इंस्टॉल किया गया है।
यह ऑपरेशन नवंबर 2023 से सक्रिय एक व्यापक अभियान का हिस्सा है, जो चेकिया में वित्तीय संस्थानों को समझौता किए गए प्रगतिशील वेब एप्लिकेशन (PWA) और WebAPK के माध्यम से लक्षित करता है। NGate का पहला ज्ञात उदाहरण मार्च 2024 में पता चला था।
विषयसूची
धमकी देने वाले लोग भुगतान कार्ड की जानकारी हासिल करने की कोशिश कर रहे हैं
इन हमलों का मुख्य उद्देश्य NGate का उपयोग करके पीड़ितों के भौतिक भुगतान कार्ड से निकट-क्षेत्र संचार (NFC) डेटा को क्लोन करना है। फिर एकत्रित की गई जानकारी को हमलावर द्वारा नियंत्रित डिवाइस में भेजा जाता है, जो ATM से पैसे निकालने के लिए मूल कार्ड की नकल करता है।
NGate की उत्पत्ति NFCGate नामक एक वैध टूल से हुई है, जिसे आरंभ में सुरक्षा अनुसंधान उद्देश्यों के लिए 2015 में विकसित किया गया था।
हमले की रणनीति में संभवतः सोशल इंजीनियरिंग और एसएमएस फ़िशिंग का मिश्रण शामिल है, जहां उपयोगकर्ताओं को गूगल प्ले स्टोर पर वैध बैंकिंग वेबसाइटों या आधिकारिक मोबाइल बैंकिंग ऐप्स की नकल करने वाले अल्पकालिक डोमेन पर पुनर्निर्देशित करके एनगेट स्थापित करने के लिए धोखा दिया जाता है।
कई खतरनाक NGate एप्लीकेशन का खुलासा हुआ
नवंबर 2023 और मार्च 2024 के बीच, छह अलग-अलग एनगेट अनुप्रयोगों की पहचान की गई थी, इससे पहले कि एटीएम फंड चोरी के सिलसिले में चेक अधिकारियों द्वारा 22 वर्षीय एक युवक की गिरफ्तारी के कारण गतिविधियों को रोक दिया गया था।
NGate न केवल NFC ट्रैफ़िक को कैप्चर करने और दूसरे डिवाइस पर रिले करने के लिए NFCGate की कार्यक्षमता का फायदा उठाता है, बल्कि उपयोगकर्ताओं को उनकी बैंकिंग क्लाइंट आईडी, जन्म तिथि और कार्ड पिन जैसी संवेदनशील वित्तीय जानकारी दर्ज करने के लिए भी प्रेरित करता है। यह फ़िशिंग पेज एक वेबव्यू में प्रदर्शित होता है।
इसके अतिरिक्त, एप्लीकेशन उपयोगकर्ताओं को अपने स्मार्टफोन पर एनएफसी सुविधा को सक्षम करने और अपने भुगतान कार्ड को डिवाइस के पीछे तब तक दबाए रखने का निर्देश देता है, जब तक कि कार्ड को दुर्भावनापूर्ण एप्लीकेशन द्वारा पहचान नहीं लिया जाता।
हमलावर पीड़ितों को फोन करके उनका शोषण करते हैं
हमले एक कपटी दृष्टिकोण अपनाते हैं, जिसमें पीड़ित, एसएमएस संदेशों के माध्यम से भेजे गए लिंक के माध्यम से पीडब्ल्यूए या वेबएपीके ऐप इंस्टॉल करने के बाद, अपने क्रेडेंशियल्स को फिशिंग कर लेते हैं और बाद में उन्हें धमकी देने वाले व्यक्ति से कॉल आती है, जो बैंक कर्मचारी होने का दिखावा करता है और उन्हें सूचित करता है कि एप्लिकेशन इंस्टॉल करने के परिणामस्वरूप उनके बैंक खाते से समझौता किया गया है।
इसके बाद उन्हें अपना पिन बदलने और एक अलग मोबाइल एप्लिकेशन (यानी, NGate) का उपयोग करके अपने बैंकिंग कार्ड को मान्य करने का निर्देश दिया जाता है, जिसका इंस्टॉलेशन लिंक भी एसएमएस के माध्यम से भेजा जाता है। इस बात का कोई सबूत नहीं है कि ये ऐप Google Play Store के ज़रिए वितरित किए गए थे।
NGate अपने संचालन को सुविधाजनक बनाने के लिए दो अलग-अलग सर्वर का उपयोग करता है। पहला एक फ़िशिंग वेबसाइट है जिसे पीड़ितों को संवेदनशील जानकारी प्रदान करने के लिए लुभाने के लिए डिज़ाइन किया गया है और यह NFC रिले हमला शुरू करने में सक्षम है। दूसरा एक NFCGate रिले सर्वर है जिसका काम पीड़ित के डिवाइस से हमलावर के डिवाइस पर NFC ट्रैफ़िक को पुनर्निर्देशित करना है।
