NGate Mobile Malware
Badacze zajmujący się cyberbezpieczeństwem zidentyfikowali nowe złośliwe oprogramowanie na Androida, które potrafi przekazywać dane dotyczące płatności zbliżeniowych z fizycznych kart kredytowych i debetowych ofiar na urządzenie kontrolowane przez atakujących, umożliwiając w ten sposób dokonywanie oszukańczych transakcji.
To złośliwe oprogramowanie, znane jako NGate, atakuje przede wszystkim trzy banki w Republice Czeskiej. NGate działa poprzez przesyłanie danych kart płatniczych z urządzenia z systemem Android ofiary, na którym zainstalowano groźną aplikację, na zrootowany telefon z systemem Android atakującego.
Ta operacja jest częścią szerszej kampanii, aktywnej od listopada 2023 r., która ma na celu instytucje finansowe w Czechach poprzez skompromitowane progresywne aplikacje internetowe (PWA) i WebAPK. Pierwszy znany przypadek NGate został wykryty w marcu 2024 r.
Spis treści
Aktorzy zagrożeń próbują zdobyć dane kart płatniczych
Głównym celem tych ataków jest klonowanie danych komunikacji bliskiego zasięgu (NFC) z fizycznych kart płatniczych ofiar przy użyciu NGate. Zebrane informacje są następnie przesyłane do urządzenia kontrolowanego przez atakującego, które emuluje oryginalną kartę, aby wypłacić pieniądze z bankomatu.
NGate wywodzi się z legalnego narzędzia o nazwie NFCGate, opracowanego pierwotnie w 2015 r. na potrzeby badań nad bezpieczeństwem.
Strategia ataku prawdopodobnie obejmuje mieszankę inżynierii społecznej i phishingu SMS-owego. Użytkownicy są oszukiwani, aby zainstalować NGate, poprzez przekierowanie na krótkotrwałe domeny, które imitują legalne witryny bankowe lub oficjalne aplikacje bankowości mobilnej w sklepie Google Play.
Odkryto kilka groźnych aplikacji NGate
Między listopadem 2023 r. a marcem 2024 r. zidentyfikowano sześć różnych aplikacji NGate, zanim działalność została prawdopodobnie wstrzymana z powodu aresztowania 22-latka przez czeskie władze w związku z kradzieżą pieniędzy z bankomatu.
NGate nie tylko wykorzystuje funkcjonalność NFCGate do przechwytywania i przekazywania ruchu NFC do innego urządzenia, ale także nakłania użytkowników do wprowadzania poufnych informacji finansowych, takich jak identyfikator klienta bankowego, data urodzenia i kod PIN karty. Ta strona phishingowa jest wyświetlana w WebView.
Dodatkowo aplikacja nakazuje użytkownikom włączenie funkcji NFC w smartfonach i przytrzymanie karty płatniczej z tyłu urządzenia do momentu rozpoznania karty przez złośliwą aplikację.
Napastnicy wzywają ofiary, aby je dalej wykorzystywać
Ataki te opierają się na podstępnej metodzie polegającej na tym, że ofiary, po zainstalowaniu aplikacji PWA lub WebAPK za pośrednictwem linków wysyłanych w wiadomościach SMS, padają ofiarą wyłudzenia danych uwierzytelniających, po czym otrzymują połączenia od osoby atakującej, która podszywa się pod pracownika banku i informuje ofiary, że ich konto bankowe zostało naruszone w wyniku zainstalowania aplikacji.
Następnie otrzymują polecenie zmiany kodu PIN i zatwierdzenia karty bankowej za pomocą innej aplikacji mobilnej (tj. NGate), do której link instalacyjny jest również wysyłany za pośrednictwem wiadomości SMS. Nie ma dowodów na to, że aplikacje te były dystrybuowane za pośrednictwem sklepu Google Play.
NGate używa dwóch odrębnych serwerów, aby ułatwić swoje działanie. Pierwszym z nich jest witryna phishingowa zaprojektowana w celu nakłonienia ofiar do podania poufnych informacji i zdolna do zainicjowania ataku przekaźnikowego NFC. Drugim jest serwer przekaźnikowy NFCGate, którego zadaniem jest przekierowywanie ruchu NFC z urządzenia ofiary do urządzenia atakującego.
