NGate mobiele malware
Cybersecurityonderzoekers hebben een nieuwe Android-malware geïdentificeerd die de contactloze betalingsgegevens van slachtoffers op fysieke creditcards en betaalpassen kan overzetten naar een apparaat dat door aanvallers wordt beheerd, waardoor frauduleuze transacties mogelijk worden.
Deze malware, bekend als NGate, is voornamelijk gericht op drie banken in Tsjechië. NGate werkt door betaalkaartgegevens over te dragen van het Android-apparaat van een slachtoffer, waarop een bedreigende applicatie is geïnstalleerd, naar de geroote Android-telefoon van de aanvaller.
Deze operatie is onderdeel van een bredere campagne, actief sinds november 2023, die financiële instellingen in Tsjechië target via gecompromitteerde progressieve webapplicaties (PWA's) en WebAPK's. Het eerste bekende geval van NGate werd gedetecteerd in maart 2024.
Inhoudsopgave
Dreigingsactoren proberen betalingskaartgegevens te verzamelen
Het primaire doel van deze aanvallen is om near-field communication (NFC)-gegevens van de fysieke betaalpassen van slachtoffers te klonen met behulp van NGate. De verzamelde informatie wordt vervolgens verzonden naar een door de aanvaller bestuurd apparaat, dat de originele kaart emuleert om geld op te nemen bij een geldautomaat.
NGate is ontstaan uit een legitieme tool genaamd NFCGate, die oorspronkelijk in 2015 werd ontwikkeld voor beveiligingsonderzoek.
De aanvalsstrategie bestaat waarschijnlijk uit een combinatie van social engineering en sms-phishing, waarbij gebruikers worden misleid om NGate te installeren door ze om te leiden naar kortdurende domeinen die lijken op legitieme bankwebsites of officiële mobiele bank-apps in de Google Play Store.
Verschillende bedreigende NGate-applicaties ontdekt
Tussen november 2023 en maart 2024 werden zes verschillende NGate-toepassingen geïdentificeerd, waarna de activiteiten waarschijnlijk werden stopgezet vanwege de arrestatie van een 22-jarige door de Tsjechische autoriteiten in verband met diefstal van geld uit een geldautomaat.
NGate maakt niet alleen gebruik van de functionaliteit van NFCGate om NFC-verkeer vast te leggen en door te sturen naar een ander apparaat, maar vraagt gebruikers ook om gevoelige financiële informatie in te voeren, zoals hun bank-client-ID, geboortedatum en kaart-PIN. Deze phishingpagina wordt weergegeven in een WebView.
Daarnaast vraagt de applicatie gebruikers om de NFC-functie op hun smartphone in te schakelen en hun betaalpas tegen de achterkant van het apparaat te houden totdat de kaart door de schadelijke applicatie wordt herkend.
Aanvallers bellen slachtoffers om hen verder uit te buiten
De aanvallen hanteren bovendien een sluwe aanpak: slachtoffers die de PWA- of WebAPK-app hebben geïnstalleerd via links die via sms-berichten zijn verzonden, worden geconfronteerd met phishing van hun inloggegevens. Vervolgens ontvangen ze telefoontjes van de kwaadwillende partij, die zich voordoet als een bankmedewerker en hen informeert dat hun bankrekening is gehackt als gevolg van de installatie van de applicatie.
Vervolgens krijgen ze de opdracht om hun pincode te wijzigen en hun bankpas te valideren met een andere mobiele applicatie (bijvoorbeeld NGate), een installatielink die ook via sms wordt verzonden. Er is geen bewijs dat deze apps via de Google Play Store zijn verspreid.
NGate gebruikt twee afzonderlijke servers om zijn activiteiten te vergemakkelijken. De eerste is een phishingwebsite die is ontworpen om slachtoffers te verleiden om gevoelige informatie te verstrekken en die een NFC-relayaanval kan initiëren. De tweede is een NFCGate-relayserver die is belast met het omleiden van NFC-verkeer van het apparaat van het slachtoffer naar dat van de aanvaller.
