NGate mobilni zlonamjerni softver
Istraživači kibernetičke sigurnosti identificirali su novi zlonamjerni softver za Android koji može prenijeti podatke o beskontaktnom plaćanju žrtava s fizičkih kreditnih i debitnih kartica na uređaj kojim upravljaju napadači, omogućujući lažne transakcije.
Ovaj malware, poznat kao NGate, primarno cilja na tri banke u Češkoj. NGate funkcionira tako da podatke o platnoj kartici sa žrtvinog Android uređaja, na kojem je instalirana prijeteća aplikacija, prenosi na napadačev rootan Android telefon.
Ova je operacija dio šire kampanje, aktivne od studenog 2023., koja cilja na financijske institucije u Češkoj putem kompromitiranih progresivnih web-aplikacija (PWA) i WebAPK-ova. Prva poznata instanca NGate-a otkrivena je u ožujku 2024.
Sadržaj
Akteri prijetnje pokušavaju doći do podataka o platnoj kartici
Primarni cilj ovih napada je kloniranje podataka komunikacije kratkog polja (NFC) s fizičkih platnih kartica žrtava pomoću NGate-a. Prikupljene informacije zatim se prenose na uređaj kojim upravlja napadač, koji oponaša izvornu karticu za podizanje novca s bankomata.
NGate je nastao iz legitimnog alata nazvanog NFCGate, koji je prvobitno razvijen 2015. u svrhe sigurnosnog istraživanja.
Strategija napada vjerojatno uključuje mješavinu društvenog inženjeringa i SMS phishinga, gdje se korisnici prevare da instaliraju NGate preusmjeravanjem na kratkotrajne domene koje oponašaju legitimne bankarske web stranice ili službene aplikacije za mobilno bankarstvo u trgovini Google Play.
Otkriveno nekoliko prijetećih NGate aplikacija
Između studenog 2023. i ožujka 2024. identificirano je šest različitih NGate aplikacija prije nego što su aktivnosti vjerojatno zaustavljene zbog uhićenja 22-godišnjaka od strane čeških vlasti u vezi s krađom sredstava na bankomatu.
NGate ne samo da iskorištava funkcionalnost NFCGate-a za hvatanje i prosljeđivanje NFC prometa na drugi uređaj, već također traži od korisnika da unesu osjetljive financijske podatke, kao što je ID bankovnog klijenta, datum rođenja i PIN kartice. Ova stranica za krađu identiteta prikazuje se unutar WebViewa.
Dodatno, aplikacija upućuje korisnike da omoguće NFC značajku na svojim pametnim telefonima i da svoju platnu karticu prislone na poleđinu uređaja dok je zlonamjerna aplikacija ne prepozna.
Napadači pozivaju žrtve da ih dalje iskorištavaju
Napadi nadalje koriste podmukli pristup u kojem žrtve, nakon što su instalirale PWA ili WebAPK aplikaciju putem veza poslanih putem SMS poruka, imaju krađu vjerodajnica i nakon toga primaju pozive od aktera prijetnje, koji se pretvara da je zaposlenik banke i obavještava ih da njihov bankovni račun bio je ugrožen kao rezultat instaliranja aplikacije.
Naknadno dobivaju upute da promijene svoj PIN i potvrde svoju bankovnu karticu pomoću druge mobilne aplikacije (tj. NGate), poveznica za instalaciju na koju se također šalje putem SMS-a. Nema dokaza da su te aplikacije distribuirane putem trgovine Google Play.
NGate koristi dva različita poslužitelja kako bi olakšao svoje operacije. Prva je web stranica za krađu identiteta osmišljena da namami žrtve na pružanje osjetljivih informacija i sposobna za pokretanje NFC relay napada. Drugi je NFCGate relejni poslužitelj zadužen za preusmjeravanje NFC prometa sa žrtvinog uređaja na napadačev.
