ฐานข้อมูลภัยคุกคาม Mobile Malware มัลแวร์มือถือ NGate

มัลแวร์มือถือ NGate

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุมัลแวร์ระบบปฏิบัติการ Android ใหม่ที่สามารถถ่ายทอดข้อมูลการชำระเงินแบบไร้สัมผัสของเหยื่อจากบัตรเครดิตและบัตรเดบิตทางกายภาพไปยังอุปกรณ์ที่ผู้โจมตีควบคุม ทำให้สามารถดำเนินธุรกรรมฉ้อโกงได้

มัลแวร์ที่รู้จักกันในชื่อ NGate นี้มีเป้าหมายหลักคือธนาคารสามแห่งในสาธารณรัฐเช็ก NGate ทำงานโดยโอนข้อมูลบัตรชำระเงินจากอุปกรณ์ Android ของเหยื่อซึ่งมีการติดตั้งแอปพลิเคชันที่เป็นอันตรายไปยังโทรศัพท์ Android ของผู้โจมตีที่ถูกรูท

การดำเนินการนี้เป็นส่วนหนึ่งของแคมเปญที่กว้างขวางขึ้น ซึ่งเริ่มดำเนินการตั้งแต่เดือนพฤศจิกายน 2023 โดยกำหนดเป้าหมายสถาบันการเงินในเช็กเกียผ่านแอปพลิเคชันเว็บโปรเกรสซีฟ (PWA) และ WebAPK ที่ถูกบุกรุก ตรวจพบ NGate ครั้งแรกเมื่อเดือนมีนาคม 2024

ผู้ก่อภัยคุกคามพยายามขโมยข้อมูลบัตรชำระเงิน

วัตถุประสงค์หลักของการโจมตีเหล่านี้คือการโคลนข้อมูลการสื่อสารแบบระยะใกล้ (NFC) จากบัตรชำระเงินทางกายภาพของเหยื่อโดยใช้ NGate จากนั้นข้อมูลที่รวบรวมได้จะถูกส่งไปยังอุปกรณ์ที่ควบคุมโดยผู้โจมตี ซึ่งเลียนแบบบัตรเดิมเพื่อถอนเงินจากตู้ ATM

NGate มาจากเครื่องมือที่ถูกกฎหมายที่เรียกว่า NFCGate ซึ่งพัฒนาขึ้นครั้งแรกในปี 2015 เพื่อวัตถุประสงค์การวิจัยด้านความปลอดภัย

กลยุทธ์การโจมตีน่าจะเกี่ยวข้องกับการผสมผสานระหว่างวิศวกรรมสังคมและการฟิชชิ่งทาง SMS โดยที่ผู้ใช้จะถูกหลอกให้ติดตั้ง NGate โดยถูกเปลี่ยนเส้นทางไปยังโดเมนอายุสั้นที่เลียนแบบเว็บไซต์ธนาคารที่ถูกกฎหมายหรือแอปธนาคารบนมือถืออย่างเป็นทางการใน Google Play Store

เปิดเผยแอปพลิเคชัน NGate ที่เป็นภัยคุกคามหลายรายการ

ระหว่างเดือนพฤศจิกายน พ.ศ. 2566 ถึงมีนาคม พ.ศ. 2567 มีการระบุแอปพลิเคชัน NGate ที่แตกต่างกันหกรายการก่อนที่กิจกรรมดังกล่าวน่าจะถูกระงับเนื่องจากเจ้าหน้าที่สาธารณรัฐเช็กจับกุมชายวัย 22 ปีในข้อหาขโมยเงินจากตู้ ATM

NGate ไม่เพียงแต่ใช้ประโยชน์จากฟังก์ชัน NFCGate เพื่อดักจับและส่งต่อการรับส่งข้อมูล NFC ไปยังอุปกรณ์อื่นเท่านั้น แต่ยังแจ้งให้ผู้ใช้ป้อนข้อมูลทางการเงินที่ละเอียดอ่อน เช่น รหัสลูกค้าธนาคาร วันเกิด และรหัส PIN ของบัตรอีกด้วย หน้าฟิชชิ่งนี้จะแสดงภายใน WebView

นอกจากนี้ แอปพลิเคชันยังแนะนำให้ผู้ใช้เปิดใช้งานคุณสมบัติ NFC บนสมาร์ทโฟนของตน และให้ถือบัตรชำระเงินไว้ที่ด้านหลังอุปกรณ์จนกว่าแอปพลิเคชันที่เป็นอันตรายจะรู้จักบัตรนั้น

ผู้โจมตีโทรหาเหยื่อเพื่อแสวงหาผลประโยชน์เพิ่มเติม

นอกจากนี้ การโจมตียังใช้แนวทางที่แยบยลโดยผู้เสียหายจะทำการติดตั้งแอป PWA หรือ WebAPK ผ่านลิงก์ที่ส่งมาทางข้อความ SMS แล้วทำการฟิชชิ่งข้อมูลประจำตัว จากนั้นจึงรับสายจากผู้ก่อให้เกิดภัยคุกคาม ซึ่งแอบอ้างตัวเป็นพนักงานธนาคารและแจ้งให้พวกเขาทราบว่าบัญชีธนาคารของพวกเขาถูกบุกรุกเนื่องจากติดตั้งแอปพลิเคชันดังกล่าว

จากนั้นผู้ใช้จะได้รับคำแนะนำให้เปลี่ยนรหัส PIN และตรวจสอบบัตรธนาคารโดยใช้แอปพลิเคชันมือถืออื่น (เช่น NGate) ซึ่งมีลิงก์ติดตั้งที่ส่งมาทาง SMS เช่นกัน ไม่มีหลักฐานว่าแอปพลิเคชันเหล่านี้ถูกเผยแพร่ผ่าน Google Play Store

NGate ใช้เซิร์ฟเวอร์ที่แตกต่างกันสองเซิร์ฟเวอร์เพื่ออำนวยความสะดวกในการทำงาน เซิร์ฟเวอร์แรกเป็นเว็บไซต์ฟิชชิ่งที่ออกแบบมาเพื่อล่อเหยื่อให้ให้ข้อมูลที่ละเอียดอ่อนและสามารถเริ่มการโจมตีแบบ NFC Relay ได้ เซิร์ฟเวอร์ที่สองเป็นเซิร์ฟเวอร์รีเลย์ NFCGate ที่มีหน้าที่เปลี่ยนเส้นทางการรับส่งข้อมูล NFC จากอุปกรณ์ของเหยื่อไปยังอุปกรณ์ของผู้โจมตี

มาแรง

เข้าชมมากที่สุด

กำลังโหลด...