NGate Mobile Malware
Studiuesit e sigurisë kibernetike kanë identifikuar një malware të ri Android të aftë për të transmetuar të dhënat e pagesave pa kontakt të viktimave nga kartat fizike të kreditit dhe debitit në një pajisje të kontrolluar nga sulmuesit, duke mundësuar transaksione mashtruese.
Ky malware, i njohur si NGate, synon kryesisht tre banka në Republikën Çeke. NGate funksionon duke transferuar të dhënat e kartës së pagesës nga pajisja Android e viktimës, ku është instaluar një aplikacion kërcënues, në telefonin e rrënjosur Android të sulmuesit.
Ky operacion është pjesë e një fushate më të gjerë, aktive që nga nëntori 2023, që synon institucionet financiare në Çeki përmes aplikacioneve progresive të uebit (PWA) dhe WebAPK-ve të komprometuara. Shembulli i parë i njohur i NGate u zbulua në mars 2024.
Tabela e Përmbajtjes
Aktorët e kërcënimit përpiqen të mbledhin detajet e kartës së pagesës
Objektivi kryesor i këtyre sulmeve është të klonojnë të dhënat e komunikimit në fushë afër (NFC) nga kartat fizike të pagesave të viktimave duke përdorur NGate. Informacioni i mbledhur më pas transmetohet në një pajisje të kontrolluar nga sulmuesi, e cila imiton kartën origjinale për të tërhequr para nga një ATM.
NGate e ka origjinën nga një mjet legjitim i quajtur NFCGate, i zhvilluar fillimisht në 2015 për qëllime kërkimore të sigurisë.
Strategjia e sulmit ka të ngjarë të përfshijë një përzierje të inxhinierisë sociale dhe phishing SMS, ku përdoruesit mashtrohen për të instaluar NGate duke u ridrejtuar në domene jetëshkurtër që imitojnë faqet e internetit të ligjshme bankare ose aplikacionet zyrtare të bankingut celular në dyqanin Google Play.
U zbuluan disa aplikacione kërcënuese NGate
Midis nëntorit 2023 dhe marsit 2024, gjashtë aplikacione të ndryshme NGate u identifikuan përpara se aktivitetet të ndërpriteshin për shkak të arrestimit të një 22-vjeçari nga autoritetet çeke në lidhje me vjedhjen e fondeve të ATM-ve.
NGate jo vetëm që shfrytëzon funksionalitetin e NFCGate për të kapur dhe transmetuar trafikun NFC në një pajisje tjetër, por gjithashtu i nxit përdoruesit të futin informacione të ndjeshme financiare, si ID-në e klientit të tyre bankar, datën e lindjes dhe PIN-in e kartës. Kjo faqe phishing shfaqet brenda një WebView.
Për më tepër, aplikacioni i udhëzon përdoruesit të aktivizojnë funksionin NFC në telefonat inteligjentë dhe të mbajnë kartën e tyre të pagesës në pjesën e pasme të pajisjes derisa karta të njihet nga aplikacioni keqdashës.
Sulmuesit thërrasin viktimat për t'i shfrytëzuar më tej
Sulmet miratojnë më tej një qasje tinëzare në atë që viktimave, pasi kanë instaluar aplikacionin PWA ose WebAPK përmes lidhjeve të dërguara përmes mesazheve SMS, kredencialet e tyre janë phished dhe më pas marrin telefonata nga aktori i kërcënimit, i cili pretendon se është punonjës banke dhe i informon se llogaria e tyre bankare ishte komprometuar si rezultat i instalimit të aplikacionit.
Më pas, ata udhëzohen të ndryshojnë kodin PIN dhe të vërtetojnë kartën e tyre bankare duke përdorur një aplikacion tjetër celular (dmth. NGate), një lidhje instalimi për të cilën dërgohet gjithashtu përmes SMS. Nuk ka asnjë provë që këto aplikacione janë shpërndarë përmes Google Play Store.
NGate përdor dy serverë të ndryshëm për të lehtësuar operacionet e tij. E para është një faqe interneti phishing e krijuar për të joshur viktimat në ofrimin e informacioneve të ndjeshme dhe të aftë për të inicuar një sulm rele NFC. E dyta është një server rele NFCGate i ngarkuar me ridrejtimin e trafikut NFC nga pajisja e viktimës në atë të sulmuesit.