Malvér NGate Mobile
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali nový malvér pre Android, ktorý dokáže prenášať bezkontaktné platobné údaje obetí z fyzických kreditných a debetných kariet do zariadenia kontrolovaného útočníkmi, čo umožňuje podvodné transakcie.
Tento malvér známy ako NGate sa primárne zameriava na tri banky v Českej republike. NGate funguje tak, že prenáša údaje o platobnej karte zo zariadenia Android obete, kde je nainštalovaná hrozivá aplikácia, do rootovaného telefónu s Androidom útočníka.
Táto operácia je súčasťou širšej kampane aktívnej od novembra 2023, ktorá sa zameriava na finančné inštitúcie v Česku prostredníctvom kompromitovaných progresívnych webových aplikácií (PWA) a WebAPK. Prvý známy výskyt NGate bol zistený v marci 2024.
Obsah
Aktéri hrozieb sa snažia získať podrobnosti o platobnej karte
Primárnym cieľom týchto útokov je klonovanie údajov NFC (Near-field communication) z fyzických platobných kariet obetí pomocou NGate. Zozbierané informácie sa potom prenesú do zariadenia ovládaného útočníkom, ktoré emuluje pôvodnú kartu na výber peňazí z bankomatu.
NGate vznikol z legitímneho nástroja s názvom NFCGate, ktorý bol pôvodne vyvinutý v roku 2015 na účely výskumu bezpečnosti.
Stratégia útoku pravdepodobne zahŕňa kombináciu sociálneho inžinierstva a SMS phishingu, kde sú používatelia podvedení pri inštalácii NGate tým, že sú presmerovaní na domény s krátkou životnosťou, ktoré napodobňujú legitímne bankové webové stránky alebo oficiálne aplikácie mobilného bankovníctva v obchode Google Play.
Odhalených niekoľko hrozivých aplikácií NGate
Medzi novembrom 2023 a marcom 2024 bolo identifikovaných šesť rôznych aplikácií NGate predtým, ako boli aktivity pravdepodobne zastavené z dôvodu zatknutia 22-ročného mladíka českými úradmi v súvislosti s krádežou bankomatového fondu.
NGate nielenže využíva funkcie NFCGate na zachytávanie a prenos NFC prevádzky do iného zariadenia, ale tiež vyzýva používateľov, aby zadali citlivé finančné informácie, ako je ich bankové ID klienta, dátum narodenia a PIN karty. Táto phishingová stránka sa zobrazuje v rámci WebView.
Okrem toho aplikácia inštruuje používateľov, aby povolili funkciu NFC na svojich smartfónoch a podržali svoju platobnú kartu na zadnej strane zariadenia, kým kartu nerozpozná škodlivá aplikácia.
Útočníci volajú obete, aby ich ďalej využívali
Útoky ďalej využívajú zákerný prístup v tom, že obetiam sa po nainštalovaní aplikácie PWA alebo WebAPK prostredníctvom odkazov odoslaných prostredníctvom SMS správ podrobia phishingu a následne dostanú hovory od aktéra hrozby, ktorý sa vydáva za zamestnanca banky a informuje ich, že ich bankový účet bol napadnutý v dôsledku inštalácie aplikácie.
Následne sú inštruovaní, aby si zmenili PIN a overili svoju bankovú kartu pomocou inej mobilnej aplikácie (tj NGate), ktorej inštalačný odkaz je zaslaný aj prostredníctvom SMS. Neexistuje žiadny dôkaz, že tieto aplikácie boli distribuované prostredníctvom Obchodu Google Play.
NGate používa dva odlišné servery na uľahčenie svojich operácií. Prvou je phishingová webová stránka navrhnutá tak, aby nalákala obete na poskytovanie citlivých informácií a bola schopná iniciovať NFC reléový útok. Druhým je NFCGate relay server, ktorého úlohou je presmerovať NFC prevádzku zo zariadenia obete na útočníkovo.
