NGate Mobile Malware
Cybersäkerhetsforskare har identifierat en ny skadlig programvara för Android som kan vidarebefordra offers kontaktlösa betalningsdata från fysiska kredit- och betalkort till en enhet som kontrolleras av angripare, vilket möjliggör bedrägliga transaktioner.
Denna skadliga programvara, känd som NGate, riktar sig främst till tre banker i Tjeckien. NGate fungerar genom att överföra betalkortsdata från ett offers Android-enhet, där en hotfull applikation har installerats, till angriparens rotade Android-telefon.
Denna operation är en del av en bredare kampanj, aktiv sedan november 2023, som riktar sig till finansinstitutioner i Tjeckien genom äventyrade progressiva webbapplikationer (PWA) och WebAPK:er. Den första kända instansen av NGate upptäcktes i mars 2024.
Innehållsförteckning
Hotskådespelare försöker skörda betalningskortsuppgifter
Det primära syftet med dessa attacker är att klona NFC-data (närfältskommunikation) från offrens fysiska betalkort med hjälp av NGate. Den insamlade informationen överförs sedan till en angriparkontrollerad enhet, som emulerar originalkortet för att ta ut pengar från en bankomat.
NGate har sitt ursprung i ett legitimt verktyg som heter NFCGate, som ursprungligen utvecklades 2015 för säkerhetsforskningsändamål.
Attackstrategin involverar sannolikt en blandning av social ingenjörskonst och SMS-nätfiske, där användare luras att installera NGate genom att omdirigeras till kortlivade domäner som efterliknar legitima bankwebbplatser eller officiella mobilbankappar i Google Play-butiken.
Flera hotande NGate-applikationer har upptäckts
Mellan november 2023 och mars 2024 identifierades sex olika NGate-ansökningar innan aktiviteterna troligen stoppades på grund av gripandet av en 22-åring av tjeckiska myndigheter i samband med stöld av bankomatfonder.
NGate utnyttjar inte bara NFCGates funktionalitet för att fånga och vidarebefordra NFC-trafik till en annan enhet utan uppmanar också användare att ange känslig finansiell information, såsom deras bankklient-ID, födelsedatum och kort-PIN. Denna nätfiskesida visas i en webbvy.
Dessutom instruerar applikationen användarna att aktivera NFC-funktionen på sina smartphones och att hålla sitt betalkort mot baksidan av enheten tills kortet känns igen av den skadliga applikationen.
Angripare kallar offer för att ytterligare utnyttja dem
Attackerna antar vidare ett lömskt tillvägagångssätt i det att offren, efter att ha installerat PWA- eller WebAPK-appen via länkar som skickats via SMS, får sina referenser nätfiskade och därefter tar emot samtal från hotaktören, som utger sig för att vara bankanställd och informerar dem om att deras bankkonto hade äventyrats som ett resultat av installationen av programmet.
De instrueras därefter att ändra sin PIN-kod och validera sitt bankkort med en annan mobilapplikation (dvs. NGate), en installationslänk till vilken också skickas via SMS. Det finns inga bevis för att dessa appar distribuerades via Google Play Butik.
NGate använder två distinkta servrar för att underlätta sin verksamhet. Den första är en nätfiskewebbplats utformad för att locka offer att tillhandahålla känslig information och kan initiera en NFC-reläattack. Den andra är en NFCGate-reläserver med uppgift att omdirigera NFC-trafik från offrets enhet till angriparens.
