NGate ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੇਂ ਐਂਡਰਾਇਡ ਮਾਲਵੇਅਰ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ ਜੋ ਪੀੜਤਾਂ ਦੇ ਸੰਪਰਕ ਰਹਿਤ ਭੁਗਤਾਨ ਡੇਟਾ ਨੂੰ ਭੌਤਿਕ ਕ੍ਰੈਡਿਟ ਅਤੇ ਡੈਬਿਟ ਕਾਰਡਾਂ ਤੋਂ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਇੱਕ ਡਿਵਾਈਸ ਵਿੱਚ ਰੀਲੇਅ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਧੋਖਾਧੜੀ ਵਾਲੇ ਲੈਣ-ਦੇਣ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ, NGate ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਚੈੱਕ ਗਣਰਾਜ ਦੇ ਤਿੰਨ ਬੈਂਕਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। NGate ਇੱਕ ਪੀੜਤ ਦੇ ਐਂਡਰੌਇਡ ਡਿਵਾਈਸ ਤੋਂ ਭੁਗਤਾਨ ਕਾਰਡ ਡੇਟਾ ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕਰਕੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਜਿੱਥੇ ਇੱਕ ਧਮਕੀ ਭਰੀ ਐਪਲੀਕੇਸ਼ਨ ਸਥਾਪਤ ਕੀਤੀ ਗਈ ਹੈ, ਹਮਲਾਵਰ ਦੇ ਰੂਟ ਕੀਤੇ Android ਫੋਨ ਵਿੱਚ।

ਇਹ ਕਾਰਵਾਈ ਇੱਕ ਵਿਆਪਕ ਮੁਹਿੰਮ ਦਾ ਹਿੱਸਾ ਹੈ, ਜੋ ਨਵੰਬਰ 2023 ਤੋਂ ਸਰਗਰਮ ਹੈ, ਜੋ ਸਮਝੌਤਾ ਪ੍ਰਗਤੀਸ਼ੀਲ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ (PWAs) ਅਤੇ WebAPKs ਦੁਆਰਾ ਚੈਕੀਆ ਵਿੱਚ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। NGate ਦੀ ਪਹਿਲੀ ਜਾਣੀ ਪਛਾਣ ਮਾਰਚ 2024 ਵਿੱਚ ਹੋਈ ਸੀ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਭੁਗਤਾਨ ਕਾਰਡ ਦੇ ਵੇਰਵਿਆਂ ਦੀ ਕਟਾਈ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ

ਇਹਨਾਂ ਹਮਲਿਆਂ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ NGate ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਪੀੜਤਾਂ ਦੇ ਸਰੀਰਕ ਭੁਗਤਾਨ ਕਾਰਡਾਂ ਤੋਂ ਨੇੜੇ-ਫੀਲਡ ਸੰਚਾਰ (NFC) ਡੇਟਾ ਨੂੰ ਕਲੋਨ ਕਰਨਾ ਹੈ। ਕਟਾਈ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਫਿਰ ਇੱਕ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਡਿਵਾਈਸ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਇੱਕ ATM ਤੋਂ ਪੈਸੇ ਕਢਵਾਉਣ ਲਈ ਅਸਲ ਕਾਰਡ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ।

NGate NFCGate ਨਾਮਕ ਇੱਕ ਜਾਇਜ਼ ਟੂਲ ਤੋਂ ਉਤਪੰਨ ਹੋਇਆ ਹੈ, ਸ਼ੁਰੂ ਵਿੱਚ ਸੁਰੱਖਿਆ ਖੋਜ ਦੇ ਉਦੇਸ਼ਾਂ ਲਈ 2015 ਵਿੱਚ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਸੀ।

ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ ਵਿੱਚ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਅਤੇ SMS ਫਿਸ਼ਿੰਗ ਦਾ ਮਿਸ਼ਰਣ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜਿੱਥੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਡੋਮੇਨਾਂ 'ਤੇ ਰੀਡਾਇਰੈਕਟ ਕਰਕੇ NGate ਸਥਾਪਤ ਕਰਨ ਲਈ ਧੋਖਾ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜੋ Google Play ਸਟੋਰ 'ਤੇ ਜਾਇਜ਼ ਬੈਂਕਿੰਗ ਵੈਬਸਾਈਟਾਂ ਜਾਂ ਅਧਿਕਾਰਤ ਮੋਬਾਈਲ ਬੈਂਕਿੰਗ ਐਪਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ।

ਕਈ ਧਮਕੀ ਭਰੇ NGate ਐਪਲੀਕੇਸ਼ਨਾਂ ਦਾ ਪਰਦਾਫਾਸ਼

ਨਵੰਬਰ 2023 ਅਤੇ ਮਾਰਚ 2024 ਦੇ ਵਿਚਕਾਰ, ATM ਫੰਡ ਚੋਰੀ ਦੇ ਸਬੰਧ ਵਿੱਚ ਚੈਕ ਅਧਿਕਾਰੀਆਂ ਦੁਆਰਾ ਇੱਕ 22 ਸਾਲਾ ਵਿਅਕਤੀ ਦੀ ਗ੍ਰਿਫਤਾਰੀ ਦੇ ਕਾਰਨ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਰੋਕਣ ਤੋਂ ਪਹਿਲਾਂ ਛੇ ਵੱਖ-ਵੱਖ NGate ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਸੀ।

NGate ਨਾ ਸਿਰਫ਼ NFC ਟ੍ਰੈਫਿਕ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਅਤੇ ਕਿਸੇ ਹੋਰ ਡਿਵਾਈਸ 'ਤੇ ਰੀਲੇਅ ਕਰਨ ਲਈ NFCGate ਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ, ਸਗੋਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀ ਬੈਂਕਿੰਗ ਕਲਾਇੰਟ ਆਈਡੀ, ਜਨਮ ਮਿਤੀ ਅਤੇ ਕਾਰਡ ਪਿੰਨ ਵਰਗੀ ਸੰਵੇਦਨਸ਼ੀਲ ਵਿੱਤੀ ਜਾਣਕਾਰੀ ਦਰਜ ਕਰਨ ਲਈ ਵੀ ਪ੍ਰੇਰਦਾ ਹੈ। ਇਹ ਫਿਸ਼ਿੰਗ ਪੰਨਾ ਇੱਕ WebView ਦੇ ਅੰਦਰ ਪ੍ਰਦਰਸ਼ਿਤ ਹੁੰਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਐਪਲੀਕੇਸ਼ਨ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਆਪਣੇ ਸਮਾਰਟਫ਼ੋਨਸ 'ਤੇ NFC ਵਿਸ਼ੇਸ਼ਤਾ ਨੂੰ ਸਮਰੱਥ ਕਰਨ ਅਤੇ ਆਪਣੇ ਭੁਗਤਾਨ ਕਾਰਡ ਨੂੰ ਡਿਵਾਈਸ ਦੇ ਪਿਛਲੇ ਪਾਸੇ ਰੱਖਣ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੰਦੀ ਹੈ ਜਦੋਂ ਤੱਕ ਕਾਰਡ ਨੂੰ ਖਤਰਨਾਕ ਐਪਲੀਕੇਸ਼ਨ ਦੁਆਰਾ ਪਛਾਣਿਆ ਨਹੀਂ ਜਾਂਦਾ ਹੈ।

ਹਮਲਾਵਰ ਪੀੜਤਾਂ ਨੂੰ ਉਨ੍ਹਾਂ ਦਾ ਹੋਰ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਬੁਲਾਉਂਦੇ ਹਨ

ਹਮਲਿਆਂ ਨੇ ਅੱਗੇ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਪਹੁੰਚ ਅਪਣਾਈ ਹੈ ਕਿ ਪੀੜਤਾਂ, ਐਸਐਮਐਸ ਸੰਦੇਸ਼ਾਂ ਦੁਆਰਾ ਭੇਜੇ ਗਏ ਲਿੰਕਾਂ ਰਾਹੀਂ PWA ਜਾਂ WebAPK ਐਪ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਉਹਨਾਂ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਫਿਸ਼ ਕੀਤੇ ਗਏ ਹਨ ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਕਾਲਾਂ ਪ੍ਰਾਪਤ ਕਰਦੇ ਹਨ, ਜੋ ਇੱਕ ਬੈਂਕ ਕਰਮਚਾਰੀ ਹੋਣ ਦਾ ਦਿਖਾਵਾ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸੂਚਿਤ ਕਰਦਾ ਹੈ ਕਿ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਉਹਨਾਂ ਦੇ ਬੈਂਕ ਖਾਤੇ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ।

ਬਾਅਦ ਵਿੱਚ ਉਹਨਾਂ ਨੂੰ ਆਪਣਾ ਪਿੰਨ ਬਦਲਣ ਅਤੇ ਇੱਕ ਵੱਖਰੀ ਮੋਬਾਈਲ ਐਪਲੀਕੇਸ਼ਨ (ਭਾਵ, NGate) ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣੇ ਬੈਂਕਿੰਗ ਕਾਰਡ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਇੰਸਟਾਲੇਸ਼ਨ ਲਿੰਕ ਜਿਸ ਨੂੰ SMS ਰਾਹੀਂ ਵੀ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਗੱਲ ਦਾ ਕੋਈ ਸਬੂਤ ਨਹੀਂ ਹੈ ਕਿ ਇਹ ਐਪਸ ਗੂਗਲ ਪਲੇ ਸਟੋਰ ਰਾਹੀਂ ਵੰਡੇ ਗਏ ਸਨ।

NGate ਆਪਣੇ ਕਾਰਜਾਂ ਦੀ ਸਹੂਲਤ ਲਈ ਦੋ ਵੱਖਰੇ ਸਰਵਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਪਹਿਲੀ ਇੱਕ ਫਿਸ਼ਿੰਗ ਵੈਬਸਾਈਟ ਹੈ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਲੁਭਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ ਅਤੇ ਇੱਕ NFC ਰੀਲੇਅ ਹਮਲਾ ਸ਼ੁਰੂ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਦੂਜਾ ਇੱਕ NFCGate ਰੀਲੇਅ ਸਰਵਰ ਹੈ ਜਿਸਨੂੰ NFC ਟਰੈਫਿਕ ਨੂੰ ਪੀੜਤ ਦੇ ਡਿਵਾਈਸ ਤੋਂ ਹਮਲਾਵਰ ਦੇ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਗਿਆ ਹੈ।