„NGate Mobile“ kenkėjiška programa
Kibernetinio saugumo tyrėjai nustatė naują „Android“ kenkėjišką programą, galinčią perduoti aukų bekontakčių mokėjimų duomenis iš fizinių kredito ir debeto kortelių į užpuolikų valdomą įrenginį, leidžiantį atlikti nesąžiningus sandorius.
Ši kenkėjiška programa, žinoma kaip NGate, pirmiausia nukreipta į tris Čekijos bankus. „NGate“ veikia perkeldama mokėjimo kortelės duomenis iš aukos „Android“ įrenginio, kuriame buvo įdiegta grėsminga programa, į užpuoliko įsišaknijusį „Android“ telefoną.
Ši operacija yra platesnės kampanijos, veikiančios nuo 2023 m. lapkričio mėn., dalis, skirta Čekijos finansų įstaigoms per pažeistas progresyvias žiniatinklio programas (PWA) ir WebAPK. Pirmasis žinomas NGate atvejis buvo aptiktas 2024 m. kovo mėn.
Turinys
Grėsmių aktoriai bando surinkti išsamią mokėjimo kortelės informaciją
Pagrindinis šių atakų tikslas yra klonuoti artimojo lauko ryšio (NFC) duomenis iš aukų fizinių mokėjimo kortelių naudojant NGate. Tada surinkta informacija perduodama į užpuoliko valdomą įrenginį, kuris imituoja pradinę kortelę, kad iš bankomato išimtų pinigus.
NGate atsirado iš teisėto įrankio, vadinamo NFCGate, kuris iš pradžių buvo sukurtas 2015 m. saugumo tyrimų tikslais.
Tikėtina, kad atakos strategija apima socialinę inžineriją ir sukčiavimą SMS žinutėmis, kai vartotojai apgaudinėjami diegdami NGate, nukreipdami į trumpalaikius domenus, kurie imituoja teisėtas bankininkystės svetaines arba oficialias mobiliojo banko programas „Google Play“ parduotuvėje.
Atskleista keletas grėsmingų „NGate“ programų
Nuo 2023 m. lapkričio mėn. iki 2024 m. kovo mėn. buvo nustatytos šešios skirtingos „NGate“ paraiškos, kol veikla greičiausiai buvo sustabdyta dėl to, kad Čekijos valdžios institucijos sulaikė 22 metų vaiką dėl bankomatų fondo vagystės.
„NGate“ ne tik išnaudoja NFCGate funkcijas, kad užfiksuotų ir perduotų NFC srautą į kitą įrenginį, bet ir ragina vartotojus įvesti neskelbtiną finansinę informaciją, pvz., banko kliento ID, gimimo datą ir kortelės PIN kodą. Šis sukčiavimo puslapis rodomas žiniatinklio rodinyje.
Be to, programa nurodo vartotojams savo išmaniuosiuose telefonuose įjungti NFC funkciją ir laikyti mokėjimo kortelę prie įrenginio galinės dalies, kol ją atpažins kenkėjiška programa.
Užpuolikai kviečia aukas toliau jas išnaudoti
Be to, atakose laikomasi klastingo požiūrio – aukos, įdiegusios PWA arba WebAPK programėlę per SMS žinutėmis siunčiamas nuorodas, jų kredencialai yra sukčiuojami ir vėliau sulaukia skambučių iš grėsmės veikėjo, kuris apsimeta banko darbuotoja ir informuoja, kad jų banko sąskaita buvo pažeista įdiegus programą.
Vėliau jiems nurodoma pakeisti PIN kodą ir patvirtinti banko kortelę naudojant kitą mobiliąją programą (ty NGate), kurios diegimo nuoroda taip pat siunčiama SMS žinute. Nėra įrodymų, kad šios programėlės buvo platinamos per „Google Play“ parduotuvę.
„NGate“ savo veiklai palengvinti naudoja du skirtingus serverius. Pirmoji yra sukčiavimo svetainė, skirta privilioti aukas teikti neskelbtiną informaciją ir galinti inicijuoti NFC perdavimo ataką. Antrasis yra NFCGate perdavimo serveris, kurio užduotis yra nukreipti NFC srautą iš aukos įrenginio į užpuoliko.
