มัลแวร์มือถือ NGate
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุมัลแวร์ระบบปฏิบัติการ Android ใหม่ที่สามารถถ่ายทอดข้อมูลการชำระเงินแบบไร้สัมผัสของเหยื่อจากบัตรเครดิตและบัตรเดบิตทางกายภาพไปยังอุปกรณ์ที่ผู้โจมตีควบคุม ทำให้สามารถดำเนินธุรกรรมฉ้อโกงได้
มัลแวร์ที่รู้จักกันในชื่อ NGate นี้มีเป้าหมายหลักคือธนาคารสามแห่งในสาธารณรัฐเช็ก NGate ทำงานโดยโอนข้อมูลบัตรชำระเงินจากอุปกรณ์ Android ของเหยื่อซึ่งมีการติดตั้งแอปพลิเคชันที่เป็นอันตรายไปยังโทรศัพท์ Android ของผู้โจมตีที่ถูกรูท
การดำเนินการนี้เป็นส่วนหนึ่งของแคมเปญที่กว้างขวางขึ้น ซึ่งเริ่มดำเนินการตั้งแต่เดือนพฤศจิกายน 2023 โดยกำหนดเป้าหมายสถาบันการเงินในเช็กเกียผ่านแอปพลิเคชันเว็บโปรเกรสซีฟ (PWA) และ WebAPK ที่ถูกบุกรุก ตรวจพบ NGate ครั้งแรกเมื่อเดือนมีนาคม 2024
สารบัญ
ผู้ก่อภัยคุกคามพยายามขโมยข้อมูลบัตรชำระเงิน
วัตถุประสงค์หลักของการโจมตีเหล่านี้คือการโคลนข้อมูลการสื่อสารแบบระยะใกล้ (NFC) จากบัตรชำระเงินทางกายภาพของเหยื่อโดยใช้ NGate จากนั้นข้อมูลที่รวบรวมได้จะถูกส่งไปยังอุปกรณ์ที่ควบคุมโดยผู้โจมตี ซึ่งเลียนแบบบัตรเดิมเพื่อถอนเงินจากตู้ ATM
NGate มาจากเครื่องมือที่ถูกกฎหมายที่เรียกว่า NFCGate ซึ่งพัฒนาขึ้นครั้งแรกในปี 2015 เพื่อวัตถุประสงค์การวิจัยด้านความปลอดภัย
กลยุทธ์การโจมตีน่าจะเกี่ยวข้องกับการผสมผสานระหว่างวิศวกรรมสังคมและการฟิชชิ่งทาง SMS โดยที่ผู้ใช้จะถูกหลอกให้ติดตั้ง NGate โดยถูกเปลี่ยนเส้นทางไปยังโดเมนอายุสั้นที่เลียนแบบเว็บไซต์ธนาคารที่ถูกกฎหมายหรือแอปธนาคารบนมือถืออย่างเป็นทางการใน Google Play Store
เปิดเผยแอปพลิเคชัน NGate ที่เป็นภัยคุกคามหลายรายการ
ระหว่างเดือนพฤศจิกายน พ.ศ. 2566 ถึงมีนาคม พ.ศ. 2567 มีการระบุแอปพลิเคชัน NGate ที่แตกต่างกันหกรายการก่อนที่กิจกรรมดังกล่าวน่าจะถูกระงับเนื่องจากเจ้าหน้าที่สาธารณรัฐเช็กจับกุมชายวัย 22 ปีในข้อหาขโมยเงินจากตู้ ATM
NGate ไม่เพียงแต่ใช้ประโยชน์จากฟังก์ชัน NFCGate เพื่อดักจับและส่งต่อการรับส่งข้อมูล NFC ไปยังอุปกรณ์อื่นเท่านั้น แต่ยังแจ้งให้ผู้ใช้ป้อนข้อมูลทางการเงินที่ละเอียดอ่อน เช่น รหัสลูกค้าธนาคาร วันเกิด และรหัส PIN ของบัตรอีกด้วย หน้าฟิชชิ่งนี้จะแสดงภายใน WebView
นอกจากนี้ แอปพลิเคชันยังแนะนำให้ผู้ใช้เปิดใช้งานคุณสมบัติ NFC บนสมาร์ทโฟนของตน และให้ถือบัตรชำระเงินไว้ที่ด้านหลังอุปกรณ์จนกว่าแอปพลิเคชันที่เป็นอันตรายจะรู้จักบัตรนั้น
ผู้โจมตีโทรหาเหยื่อเพื่อแสวงหาผลประโยชน์เพิ่มเติม
นอกจากนี้ การโจมตียังใช้แนวทางที่แยบยลโดยผู้เสียหายจะทำการติดตั้งแอป PWA หรือ WebAPK ผ่านลิงก์ที่ส่งมาทางข้อความ SMS แล้วทำการฟิชชิ่งข้อมูลประจำตัว จากนั้นจึงรับสายจากผู้ก่อให้เกิดภัยคุกคาม ซึ่งแอบอ้างตัวเป็นพนักงานธนาคารและแจ้งให้พวกเขาทราบว่าบัญชีธนาคารของพวกเขาถูกบุกรุกเนื่องจากติดตั้งแอปพลิเคชันดังกล่าว
จากนั้นผู้ใช้จะได้รับคำแนะนำให้เปลี่ยนรหัส PIN และตรวจสอบบัตรธนาคารโดยใช้แอปพลิเคชันมือถืออื่น (เช่น NGate) ซึ่งมีลิงก์ติดตั้งที่ส่งมาทาง SMS เช่นกัน ไม่มีหลักฐานว่าแอปพลิเคชันเหล่านี้ถูกเผยแพร่ผ่าน Google Play Store
NGate ใช้เซิร์ฟเวอร์ที่แตกต่างกันสองเซิร์ฟเวอร์เพื่ออำนวยความสะดวกในการทำงาน เซิร์ฟเวอร์แรกเป็นเว็บไซต์ฟิชชิ่งที่ออกแบบมาเพื่อล่อเหยื่อให้ให้ข้อมูลที่ละเอียดอ่อนและสามารถเริ่มการโจมตีแบบ NFC Relay ได้ เซิร์ฟเวอร์ที่สองเป็นเซิร์ฟเวอร์รีเลย์ NFCGate ที่มีหน้าที่เปลี่ยนเส้นทางการรับส่งข้อมูล NFC จากอุปกรณ์ของเหยื่อไปยังอุปกรณ์ของผู้โจมตี