Zlonamerna programska oprema za mobilne naprave NGate
Raziskovalci kibernetske varnosti so odkrili novo zlonamerno programsko opremo za Android, ki je sposobna posredovati podatke žrtev o brezstičnem plačilu s fizičnih kreditnih in debetnih kartic v napravo, ki jo nadzorujejo napadalci, kar omogoča goljufive transakcije.
Ta zlonamerna programska oprema, znana kot NGate, cilja predvsem na tri banke na Češkem. NGate deluje tako, da prenese podatke plačilne kartice iz žrtvine naprave Android, kjer je nameščena grozilna aplikacija, na napadalčev rootan telefon Android.
Ta operacija je del širše kampanje, ki poteka od novembra 2023 in cilja na finančne institucije na Češkem prek ogroženih progresivnih spletnih aplikacij (PWA) in WebAPK-jev. Prvi znani primerek NGate je bil odkrit marca 2024.
Kazalo
Akterji groženj poskušajo pridobiti podatke o plačilni kartici
Glavni cilj teh napadov je kloniranje podatkov o komunikaciji bližnjega polja (NFC) s fizičnih plačilnih kartic žrtev z uporabo NGate. Zbrane informacije se nato prenesejo v napravo, ki jo nadzoruje napadalec, ki posnema izvirno kartico za dvig denarja na bankomatu.
NGate izvira iz legitimnega orodja, imenovanega NFCGate, ki je bil prvotno razvit leta 2015 za namene varnostnih raziskav.
Strategija napada verjetno vključuje mešanico socialnega inženiringa in lažnega predstavljanja SMS, kjer so uporabniki zavedeni v namestitev NGate tako, da so preusmerjeni na kratkotrajne domene, ki posnemajo zakonita bančna spletna mesta ali uradne aplikacije za mobilno bančništvo v trgovini Google Play.
Odkritih več nevarnih aplikacij NGate
Med novembrom 2023 in marcem 2024 je bilo identificiranih šest različnih aplikacij NGate, preden so bile dejavnosti verjetno ustavljene zaradi aretacije 22-letnika s strani čeških oblasti v povezavi s krajo bankomatov.
NGate ne izkorišča samo funkcionalnosti NFCGate za zajemanje in posredovanje prometa NFC na drugo napravo, temveč uporabnike tudi pozove k vnosu občutljivih finančnih podatkov, kot so ID bančne stranke, datum rojstva in PIN kartice. Ta stran z lažnim predstavljanjem je prikazana v spletnem pogledu.
Poleg tega aplikacija uporabnikom naroči, naj omogočijo funkcijo NFC na svojih pametnih telefonih in svojo plačilno kartico držijo ob zadnji strani naprave, dokler je zlonamerna aplikacija ne prepozna.
Napadalci kličejo žrtve, da jih še naprej izkoriščajo
Napadi nadalje uporabljajo zahrbten pristop, saj žrtve po namestitvi aplikacije PWA ali WebAPK prek povezav, poslanih prek sporočil SMS, lažno predstavljajo svoje poverilnice in nato prejmejo klice akterja grožnje, ki se pretvarja, da je bančni uslužbenec, in jih obvesti, da njihov bančni račun je bil ogrožen zaradi namestitve aplikacije.
Nato dobijo navodila, naj spremenijo svoj PIN in potrdijo svojo bančno kartico z drugo mobilno aplikacijo (tj. NGate), povezava za namestitev do katere je prav tako poslana prek SMS-a. Ni dokazov, da so bile te aplikacije distribuirane prek trgovine Google Play.
NGate za lažje delovanje uporablja dva različna strežnika. Prvo je spletno mesto z lažnim predstavljanjem, namenjeno zvabljanju žrtev v zagotavljanje občutljivih informacij in zmožnost sprožitve napada z relejem NFC. Drugi je relejni strežnik NFCGate, ki je zadolžen za preusmerjanje prometa NFC iz naprave žrtve v napravo napadalca.
