NGate Perisian Mudah Alih
Penyelidik keselamatan siber telah mengenal pasti perisian hasad Android baharu yang mampu menyampaikan data pembayaran tanpa sentuh mangsa daripada kad kredit dan debit fizikal kepada peranti yang dikawal oleh penyerang, membolehkan transaksi penipuan.
Perisian hasad ini, yang dikenali sebagai NGate, menyasarkan terutamanya tiga bank di Republik Czech. NGate berfungsi dengan memindahkan data kad pembayaran daripada peranti Android mangsa, tempat aplikasi mengancam telah dipasang, ke telefon Android berakar penyerang.
Operasi ini adalah sebahagian daripada kempen yang lebih luas, aktif sejak November 2023, yang menyasarkan institusi kewangan di Czechia melalui aplikasi Web progresif (PWA) dan WebAPK yang terjejas. Contoh pertama NGate yang diketahui telah dikesan pada Mac 2024.
Isi kandungan
Ancaman Pelakon Cuba Mengumpul Butiran Kad Pembayaran
Objektif utama serangan ini adalah untuk mengklon data komunikasi medan dekat (NFC) daripada kad pembayaran fizikal mangsa menggunakan NGate. Maklumat yang dituai kemudiannya dihantar ke peranti yang dikawal oleh penyerang, yang meniru kad asal untuk mengeluarkan wang dari ATM.
NGate berasal daripada alat yang sah dipanggil NFCGate, pada mulanya dibangunkan pada 2015 untuk tujuan penyelidikan keselamatan.
Strategi serangan mungkin melibatkan gabungan kejuruteraan sosial dan pancingan data SMS, di mana pengguna ditipu untuk memasang NGate dengan diubah hala ke domain jangka pendek yang meniru tapak web perbankan yang sah atau apl perbankan mudah alih rasmi di gedung Google Play.
Beberapa Aplikasi NGate Mengancam Terbongkar
Antara November 2023 dan Mac 2024, enam permohonan NGate berbeza telah dikenal pasti sebelum aktiviti itu berkemungkinan dihentikan kerana penahanan seorang lelaki berusia 22 tahun oleh pihak berkuasa Czech berkaitan dengan kecurian dana ATM.
NGate bukan sahaja mengeksploitasi kefungsian NFCGate untuk menangkap dan menyampaikan trafik NFC ke peranti lain tetapi juga menggesa pengguna untuk memasukkan maklumat kewangan yang sensitif, seperti ID pelanggan perbankan mereka, tarikh lahir dan PIN kad. Halaman pancingan data ini dipaparkan dalam WebView.
Selain itu, aplikasi itu mengarahkan pengguna untuk mendayakan ciri NFC pada telefon pintar mereka dan memegang kad pembayaran mereka di belakang peranti sehingga kad itu dikenali oleh aplikasi berniat jahat itu.
Penyerang Memanggil Mangsa untuk Mengeksploitasi Mereka
Serangan seterusnya menggunakan pendekatan licik dalam mangsa, selepas memasang apl PWA atau WebAPK melalui pautan yang dihantar melalui mesej SMS, bukti kelayakan mereka dipancing dan seterusnya menerima panggilan daripada pelaku ancaman, yang berpura-pura menjadi pekerja bank dan memaklumkan mereka bahawa akaun bank mereka telah terjejas akibat pemasangan aplikasi.
Mereka kemudiannya diarahkan untuk menukar PIN mereka dan mengesahkan kad perbankan mereka menggunakan aplikasi mudah alih yang berbeza (iaitu, NGate), pautan pemasangan yang juga dihantar melalui SMS. Tiada bukti bahawa apl ini diedarkan melalui Gedung Google Play.
NGate menggunakan dua pelayan berbeza untuk memudahkan operasinya. Yang pertama ialah tapak web pancingan data yang direka untuk menarik mangsa supaya memberikan maklumat sensitif dan mampu memulakan serangan geganti NFC. Yang kedua ialah pelayan geganti NFCGate yang ditugaskan untuk mengubah hala trafik NFC daripada peranti mangsa kepada penyerang.
