NGate Mobile ļaunprātīga programmatūra
Kiberdrošības pētnieki ir identificējuši jaunu Android ļaunprogrammatūru, kas spēj pārsūtīt upuru bezkontakta maksājumu datus no fiziskajām kredītkartēm un debetkartēm uz ierīci, kuru kontrolē uzbrucēji, tādējādi nodrošinot krāpnieciskus darījumus.
Šī ļaunprātīgā programmatūra, kas pazīstama kā NGate, galvenokārt ir vērsta uz trim bankām Čehijas Republikā. NGate darbojas, pārsūtot maksājumu karšu datus no upura Android ierīces, kurā ir instalēta draudu aplikācija, uz uzbrucēja saknes Android tālruni.
Šī operācija ir daļa no plašākas kampaņas, kas ir aktīva kopš 2023. gada novembra un kuras mērķauditorija ir Čehijas finanšu iestādes, izmantojot apdraudētas progresīvās tīmekļa lietojumprogrammas (PWA) un WebAPK. Pirmais zināmais NGate gadījums tika atklāts 2024. gada martā.
Satura rādītājs
Draudu aktieri cenšas iegūt informāciju par maksājumu kartēm
Šo uzbrukumu galvenais mērķis ir klonēt tuvu lauka sakaru (NFC) datus no upuru fiziskajām maksājumu kartēm, izmantojot NGate. Pēc tam iegūtā informācija tiek pārsūtīta uz uzbrucēja kontrolētu ierīci, kas atdarina sākotnējo karti, lai izņemtu naudu no bankomāta.
NGate radās no likumīga rīka ar nosaukumu NFCGate, kas sākotnēji tika izstrādāts 2015. gadā drošības izpētes nolūkos.
Uzbrukuma stratēģija, visticamāk, ietver sociālās inženierijas un SMS pikšķerēšanas sajaukumu, kur lietotāji tiek maldināti, instalējot NGate, novirzot uz īslaicīgiem domēniem, kas atdarina likumīgas banku vietnes vai oficiālas mobilās bankas lietotnes Google Play veikalā.
Atklātas vairākas bīstamas NGate lietojumprogrammas
No 2023. gada novembra līdz 2024. gada martam tika identificēti seši dažādi NGate pieteikumi, pirms darbības, visticamāk, tika apturētas, jo Čehijas iestādes arestēja 22 gadus vecu jaunieti saistībā ar bankomāta līdzekļu zādzību.
NGate ne tikai izmanto NFCGate funkcionalitāti, lai uztvertu un pārsūtītu NFC trafiku uz citu ierīci, bet arī mudina lietotājus ievadīt sensitīvu finanšu informāciju, piemēram, bankas klienta ID, dzimšanas datumu un kartes PIN. Šī pikšķerēšanas lapa tiek parādīta WebView ietvaros.
Turklāt lietojumprogramma liek lietotājiem iespējot NFC funkciju savos viedtālruņos un turēt maksājumu karti pret ierīces aizmuguri, līdz ļaunprātīgā lietojumprogramma atpazīst karti.
Uzbrucēji aicina upurus turpināt viņus ekspluatēt
Uzbrukumos tiek izmantota arī mānīga pieeja, proti, upuriem pēc PWA vai WebAPK lietotnes instalēšanas, izmantojot saites, kas nosūtītas ar īsziņām, viņu akreditācijas dati tiek izkrāpti un pēc tam viņi saņem zvanus no draudu izpildītāja, kurš uzdodas par bankas darbinieku un informē viņus, ka viņu bankas konts tika uzlauzts lietojumprogrammas instalēšanas rezultātā.
Pēc tam viņiem tiek uzdots mainīt savu PIN kodu un apstiprināt bankas karti, izmantojot citu mobilo lietojumprogrammu (ti, NGate), uz kuru instalēšanas saite tiek nosūtīta arī ar SMS. Nav pierādījumu, ka šīs lietotnes būtu izplatītas, izmantojot Google Play veikalu.
NGate savu darbību atvieglošanai izmanto divus atšķirīgus serverus. Pirmā ir pikšķerēšanas vietne, kas paredzēta, lai mudinātu upurus sniegt sensitīvu informāciju, un tā spēj ierosināt NFC pārraides uzbrukumu. Otrais ir NFCGate releja serveris, kura uzdevums ir novirzīt NFC trafiku no upura ierīces uz uzbrucēju.
