NGate Mobile Malware
Cercetătorii în domeniul securității cibernetice au identificat un nou program malware Android capabil să transmită datele de plată fără contact ale victimelor de la cardurile fizice de credit și de debit către un dispozitiv controlat de atacatori, permițând tranzacții frauduloase.
Acest malware, cunoscut sub numele de NGate, vizează în primul rând trei bănci din Republica Cehă. NGate funcționează prin transferul datelor cardului de plată de pe dispozitivul Android al unei victime, unde a fost instalată o aplicație amenințătoare, pe telefonul Android rootat al atacatorului.
Această operațiune face parte dintr-o campanie mai amplă, activă din noiembrie 2023, care vizează instituțiile financiare din Cehia prin intermediul aplicațiilor web progresive compromise (PWA) și WebAPK-uri. Prima instanță cunoscută de NGate a fost detectată în martie 2024.
Cuprins
Actorii de amenințări încearcă să culeagă detaliile cardului de plată
Obiectivul principal al acestor atacuri este clonarea datelor de comunicare în câmp apropiat (NFC) de pe cardurile fizice de plată ale victimelor folosind NGate. Informațiile culese sunt apoi transmise unui dispozitiv controlat de atacator, care emulează cardul original pentru a retrage bani de la un bancomat.
NGate a apărut dintr-un instrument legitim numit NFCGate, dezvoltat inițial în 2015 în scopuri de cercetare de securitate.
Strategia de atac implică probabil o combinație de inginerie socială și phishing prin SMS, în care utilizatorii sunt înșelați să instaleze NGate prin redirecționarea către domenii de scurtă durată care imită site-uri bancare legitime sau aplicații bancare mobile oficiale din magazinul Google Play.
Au fost descoperite mai multe aplicații NGate amenințătoare
Între noiembrie 2023 și martie 2024, șase aplicații diferite NGate au fost identificate înainte ca activitățile să fie probabil oprite din cauza arestării unui tânăr de 22 de ani de către autoritățile cehe în legătură cu furtul de fonduri ATM.
NGate nu numai că exploatează funcționalitatea NFCGate pentru a capta și a retransmite traficul NFC către un alt dispozitiv, dar îi solicită și utilizatorilor să introducă informații financiare sensibile, cum ar fi ID-ul clientului bancar, data nașterii și PIN-ul cardului. Această pagină de phishing este afișată într-un WebView.
În plus, aplicația instruiește utilizatorii să activeze funcția NFC pe smartphone-urile lor și să țină cardul de plată pe spatele dispozitivului până când cardul este recunoscut de aplicația rău intenționată.
Atacatorii cheamă victimele să le exploateze în continuare
Atacurile adoptă în continuare o abordare insidioasă în sensul că victimelor, după ce au instalat aplicația PWA sau WebAPK prin link-uri trimise prin mesaje SMS, li se phishingează acreditările și, ulterior, primesc apeluri de la actorul amenințării, care se preface a fi angajat al băncii și le informează că contul lor bancar fusese compromis ca urmare a instalării aplicației.
Ulterior, aceștia sunt instruiți să-și schimbe PIN-ul și să-și valideze cardul bancar folosind o altă aplicație mobilă (adică, NGate), un link de instalare către care este trimis și prin SMS. Nu există dovezi că aceste aplicații au fost distribuite prin Magazinul Google Play.
NGate folosește două servere distincte pentru a-și facilita operațiunile. Primul este un site web de phishing conceput pentru a atrage victimele să furnizeze informații sensibile și capabil să inițieze un atac de tip NFC. Al doilea este un server releu NFCGate însărcinat cu redirecționarea traficului NFC de la dispozitivul victimei către cel al atacatorului.
