NGate 모바일 맬웨어

사이버보안 연구원들은 피해자의 비접촉식 결제 데이터를 물리적 신용카드와 직불카드에서 공격자가 제어하는 기기로 전달하여 사기 거래를 가능하게 할 수 있는 새로운 안드로이드 맬웨어를 발견했습니다.

NGate로 알려진 이 맬웨어는 주로 체코 공화국의 세 은행을 표적으로 삼고 있습니다. NGate는 위협적인 애플리케이션이 설치된 피해자의 Android 기기에서 지불 카드 데이터를 공격자의 루팅된 Android 휴대전화로 전송하여 작동합니다.

이 작전은 2023년 11월부터 시작된 보다 광범위한 캠페인의 일부로, 손상된 프로그레시브 웹 애플리케이션(PWA)과 WebAPK를 통해 체코의 금융 기관을 표적으로 삼습니다. NGate의 첫 번째 알려진 사례는 2024년 3월에 감지되었습니다.

위협 행위자들이 결제 카드 세부 정보를 수집하려고 시도

이러한 공격의 주요 목적은 NGate를 사용하여 피해자의 실제 지불 카드에서 근거리 무선 통신(NFC) 데이터를 복제하는 것입니다. 수집된 정보는 그런 다음 공격자가 제어하는 장치로 전송되고, 이 장치는 원래 카드를 에뮬레이션하여 ATM에서 돈을 인출합니다.

NGate는 원래 2015년 보안 연구 목적으로 개발된 NFCGate라는 합법적인 도구에서 유래되었습니다.

공격 전략에는 소셜 엔지니어링과 SMS 피싱이 혼합된 방법이 포함될 가능성이 높은데, 이는 사용자를 속여 Google Play 스토어의 정식 은행 웹사이트나 공식 모바일 뱅킹 앱을 모방한 단기 도메인으로 리디렉션하여 NGate를 설치하게 하는 것입니다.

여러 가지 위협적인 NGate 애플리케이션 발견

2023년 11월과 2024년 3월 사이에 6개의 서로 다른 NGate 애플리케이션이 확인되었으며, 체코 당국이 ATM 자금 도난과 관련하여 22세 청년을 체포한 이후 활동이 중단되었을 가능성이 높습니다.

NGate는 NFCGate의 기능을 활용하여 NFC 트래픽을 캡처하여 다른 기기로 전달할 뿐만 아니라 사용자에게 은행 고객 ID, 생년월일, 카드 PIN과 같은 민감한 금융 정보를 입력하도록 요청합니다. 이 피싱 페이지는 WebView에 표시됩니다.

또한, 이 애플리케이션은 사용자에게 스마트폰에서 NFC 기능을 활성화하고 악성 애플리케이션에서 카드를 인식할 때까지 결제 카드를 기기 뒷면에 대고 있으라고 지시합니다.

공격자는 피해자에게 전화해 추가로 악용

이러한 공격은 피해자가 SMS 메시지로 전송된 링크를 통해 PWA나 WebAPK 앱을 설치한 후 자격 증명을 피싱당한 후 위협 행위자로부터 전화를 받는 등 교활한 방법을 채택합니다. 위협 행위자는 은행 직원인 척하며 해당 애플리케이션을 설치한 결과 은행 계좌가 침해되었다고 알려줍니다.

그런 다음 PIN을 변경하고 다른 모바일 애플리케이션(예: NGate)을 사용하여 은행 카드를 검증하라는 지시를 받습니다. 이 애플리케이션에 대한 설치 링크도 SMS로 전송됩니다. 이러한 앱이 Google Play Store를 통해 배포되었다는 증거는 없습니다.

NGate는 두 개의 별개 서버를 사용하여 운영을 용이하게 합니다. 첫 번째는 피해자를 유인하여 민감한 정보를 제공하도록 설계된 피싱 웹사이트이며 NFC 릴레이 공격을 시작할 수 있습니다. 두 번째는 피해자의 기기에서 공격자의 기기로 NFC 트래픽을 리디렉션하는 임무를 맡은 NFCGate 릴레이 서버입니다.