NGate mobil skadelig programvare
Cybersikkerhetsforskere har identifisert en ny Android-skadevare som er i stand til å videresende ofrenes kontaktløse betalingsdata fra fysiske kreditt- og debetkort til en enhet kontrollert av angripere, noe som muliggjør uredelige transaksjoner.
Denne skadevaren, kjent som NGate, er først og fremst rettet mot tre banker i Tsjekkia. NGate fungerer ved å overføre betalingskortdata fra et offers Android-enhet, der en truende applikasjon er installert, til angriperens rotfestede Android-telefon.
Denne operasjonen er en del av en bredere kampanje, aktiv siden november 2023, som retter seg mot finansinstitusjoner i Tsjekkia gjennom kompromitterte progressive webapplikasjoner (PWA-er) og WebAPK-er. Den første kjente forekomsten av NGate ble oppdaget i mars 2024.
Innholdsfortegnelse
Trusselaktører prøver å samle betalingskortdetaljer
Hovedmålet med disse angrepene er å klone nærfeltskommunikasjonsdata (NFC) fra ofrenes fysiske betalingskort ved å bruke NGate. Den innhentede informasjonen blir deretter overført til en angriperkontrollert enhet, som emulerer det originale kortet for å ta ut penger fra en minibank.
NGate stammer fra et legitimt verktøy kalt NFCGate, opprinnelig utviklet i 2015 for sikkerhetsforskningsformål.
Angrepsstrategien involverer sannsynligvis en blanding av sosial teknikk og SMS-phishing, der brukere blir lurt til å installere NGate ved å bli omdirigert til kortvarige domener som etterligner legitime banknettsteder eller offisielle mobilbankapper i Google Play-butikken.
Flere truende NGate-applikasjoner avdekket
Mellom november 2023 og mars 2024 ble seks forskjellige NGate-søknader identifisert før aktivitetene sannsynligvis ble stoppet på grunn av arrestasjonen av en 22-åring av tsjekkiske myndigheter i forbindelse med tyveri av minibankfond.
NGate utnytter ikke bare NFCGates funksjonalitet for å fange opp og videresende NFC-trafikk til en annen enhet, men ber også brukere om å skrive inn sensitiv finansiell informasjon, for eksempel deres bankkunde-ID, fødselsdato og kort-PIN. Denne phishing-siden vises i en WebView.
I tillegg instruerer applikasjonen brukere om å aktivere NFC-funksjonen på smarttelefonene og holde betalingskortet mot baksiden av enheten til kortet gjenkjennes av den ondsinnede applikasjonen.
Angripere kaller ofre for å utnytte dem ytterligere
Angrepene har videre en lumsk tilnærming ved at ofrene, etter å ha installert PWA- eller WebAPK-appen gjennom lenker sendt via SMS-meldinger, får legitimasjonen sin phished og mottar deretter anrop fra trusselaktøren, som utgir seg for å være en bankansatt og informerer dem om at bankkontoen deres hadde blitt kompromittert som følge av installasjonen av programmet.
De blir deretter bedt om å endre PIN-koden og validere bankkortet ved hjelp av en annen mobilapplikasjon (dvs. NGate), en installasjonslenke som også sendes via SMS. Det er ingen bevis for at disse appene ble distribuert gjennom Google Play Store.
NGate bruker to forskjellige servere for å lette driften. Den første er et phishing-nettsted designet for å lokke ofre til å gi sensitiv informasjon og i stand til å sette i gang et NFC-reléangrep. Den andre er en NFCGate-reléserver som har i oppgave å omdirigere NFC-trafikk fra offerets enhet til angriperens.