НГате Мобиле Малваре
Истраживачи сајбер безбедности идентификовали су нови малвер за Андроид који је способан да преноси податке о бесконтактном плаћању жртава са физичких кредитних и дебитних картица на уређај који контролишу нападачи, омогућавајући лажне трансакције.
Овај малвер, познат као НГате, првенствено циља три банке у Чешкој. НГате функционише тако што преноси податке о платној картици са Андроид уређаја жртве, где је инсталирана претећа апликација, на нападачев роот Андроид телефон.
Ова операција је део шире кампање, активне од новембра 2023. године, која циља финансијске институције у Чешкој кроз компромитоване прогресивне веб апликације (ПВА) и ВебАПК-ове. Прва позната инстанца НГате-а откривена је у марту 2024.
Преглед садржаја
Актери претњи покушавају да сакупе детаље платне картице
Примарни циљ ових напада је клонирање података у блиском пољу (НФЦ) са физичких платних картица жртава користећи НГате. Прикупљене информације се затим преносе на уређај који контролише нападач, који емулира оригиналну картицу за подизање новца са банкомата.
НГате је настао из легитимног алата под називом НФЦГате, који је првобитно развијен 2015. године у сврхе истраживања безбедности.
Стратегија напада вероватно укључује мешавину друштвеног инжењеринга и СМС крађе идентитета, где су корисници преварени да инсталирају НГате тако што су преусмерени на краткотрајне домене који имитирају легитимне банкарске веб странице или званичне апликације за мобилно банкарство у Гоогле Плаи продавници.
Откривено неколико претећих НГате апликација
Између новембра 2023. и марта 2024. идентификовано је шест различитих НГате апликација пре него што су активности вероватно заустављене због хапшења 22-годишњака од стране чешких власти у вези са крађом средстава из банкомата.
НГате не само да искоришћава функционалност НФЦГате-а за хватање и преношење НФЦ саобраћаја на други уређај, већ и подстиче кориснике да унесу осетљиве финансијске информације, као што су ИД свог банкарског клијента, датум рођења и ПИН картице. Ова страница за крађу идентитета се приказује у оквиру ВебВиев-а.
Поред тога, апликација упућује кориснике да омогуће НФЦ функцију на својим паметним телефонима и да држе своју платну картицу уз полеђину уређаја док је злонамерна апликација не препозна.
Нападачи позивају жртве да их даље искоришћавају
Напади даље усвајају подмукао приступ тако што жртве, након што су инсталирале ПВА или ВебАПК апликацију путем линкова послатих путем СМС порука, претворе своје акредитиве и након тога примају позиве од актера претње, који се претвара да је службеник банке и обавештава их да њихов банковни рачун је компромитован као резултат инсталирања апликације.
Након тога добијају инструкције да промене свој ПИН и провере своју банкарску картицу користећи другу мобилну апликацију (нпр. НГате), веза за инсталацију на коју се такође шаље путем СМС-а. Нема доказа да су ове апликације дистрибуиране преко Гоогле Плаи продавнице.
НГате користи два различита сервера да олакша своје операције. Прва је веб локација за крађу идентитета дизајнирана да намами жртве да пруже осетљиве информације и може да покрене НФЦ релејни напад. Други је НФЦГате релеј сервер који има задатак да преусмери НФЦ саобраћај са уређаја жртве на уређај нападача.
