NGate Mobile Malware
A kiberbiztonsági kutatók egy új androidos kártevőt azonosítottak, amely képes az áldozatok érintésmentes fizetési adatait fizikai hitel- és betéti kártyákról a támadók által vezérelt eszközre továbbítani, lehetővé téve a csalárd tranzakciókat.
Ez a rosszindulatú program, az NGate néven ismert, elsősorban három bankot céloz meg Csehországban. Az NGate úgy működik, hogy átviszi a fizetési kártya adatait az áldozat Android-eszközéről, amelyre egy fenyegető alkalmazást telepítettek, a támadó rootolt Android telefonjára.
Ez a művelet egy szélesebb, 2023 novembere óta aktív kampány része, amely a csehországi pénzintézeteket célozza meg kompromittált progresszív webalkalmazásokon (PWA) és WebAPK-kon keresztül. Az NGate első ismert példányát 2024 márciusában észlelték.
Tartalomjegyzék
A fenyegetés szereplői megpróbálják begyűjteni a fizetési kártya adatait
Ezeknek a támadásoknak az elsődleges célja, hogy az áldozatok fizikai fizetési kártyáiról NGate segítségével klónozzák a közeli hatótávolságú kommunikációs (NFC) adatokat. A begyűjtött információkat ezután egy támadó által vezérelt eszközre továbbítják, amely az eredeti kártyát emulálja, hogy pénzt vegyen fel egy ATM-ből.
Az NGate az NFCGate nevű legitim eszközből származik, amelyet eredetileg 2015-ben fejlesztettek ki biztonsági kutatási célokra.
A támadási stratégia valószínűleg a social engineering és az SMS-es adathalászat keverékét foglalja magában, ahol a felhasználókat megtévesztik az NGate telepítésével azáltal, hogy rövid élettartamú domainekre irányítják át őket, amelyek legitim banki webhelyeket vagy hivatalos mobilbanki alkalmazásokat utánoznak a Google Play Áruházban.
Számos fenyegető NGate-alkalmazás lelepleződött
2023 novembere és 2024 márciusa között hat különböző NGate alkalmazást azonosítottak, mielőtt a tevékenységeket valószínűleg leállították volna, mivel a cseh hatóságok letartóztattak egy 22 éves fiatalt ATM-alap ellopásával kapcsolatban.
Az NGate nemcsak az NFCGate funkcióit használja ki az NFC-forgalom rögzítésére és egy másik eszközre való továbbítására, hanem arra is kéri a felhasználókat, hogy adjanak meg érzékeny pénzügyi információkat, például banki ügyfélazonosítójukat, születési dátumukat és kártya PIN-kódját. Ez az adathalász oldal a WebView-ban jelenik meg.
Ezenkívül az alkalmazás arra utasítja a felhasználókat, hogy engedélyezzék az NFC funkciót okostelefonjukon, és tartsák a fizetési kártyájukat a készülék hátuljához, amíg a kártyát fel nem ismeri a rosszindulatú alkalmazás.
A támadók áldozatokat hívnak, hogy további kizsákmányolják őket
A támadások továbbá olyan alattomos megközelítést alkalmaznak, hogy az áldozatok, miután SMS-ben küldött linkeken keresztül telepítették a PWA vagy WebAPK alkalmazást, adathalászatot követnek el, és ezt követően hívásokat kapnak a fenyegetőzőtől, aki banki alkalmazottnak adja ki magát, és tájékoztatja őket, hogy bankszámlájukat feltörték az alkalmazás telepítése következtében.
Ezt követően utasítják őket, hogy módosítsák PIN-kódjukat, és érvényesítsék bankkártyájukat egy másik mobilalkalmazással (pl. NGate), amelyre SMS-ben is elküldik a telepítési linket. Nincs bizonyíték arra, hogy ezeket az alkalmazásokat a Google Play Áruházban terjesztették volna.
Az NGate két külön szervert használ működésének megkönnyítésére. Az első egy adathalász webhely, amelyet arra terveztek, hogy az áldozatokat bizalmas információk közlésére csábítsa, és képes NFC közvetítő támadást kezdeményezni. A második egy NFCGate közvetítőszerver, amelynek feladata az NFC-forgalom átirányítása az áldozat eszközéről a támadó eszközére.
