NGate Mobile Malware
Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong Android malware na may kakayahang maghatid ng data ng walang contact na pagbabayad ng mga biktima mula sa mga pisikal na credit at debit card sa isang device na kinokontrol ng mga umaatake, na nagbibigay-daan sa mga mapanlinlang na transaksyon.
Ang malware na ito, na kilala bilang NGate, ay pangunahing nagta-target sa tatlong bangko sa Czech Republic. Gumagana ang NGate sa pamamagitan ng paglilipat ng data ng card ng pagbabayad mula sa Android device ng biktima, kung saan na-install ang isang nagbabantang application, sa na-root na Android phone ng umaatake.
Ang operasyong ito ay bahagi ng isang mas malawak na kampanya, na aktibo mula noong Nobyembre 2023, na nagta-target sa mga institusyong pampinansyal sa Czechia sa pamamagitan ng mga nakompromisong progresibong Web application (PWA) at WebAPK. Ang unang kilalang instance ng NGate ay nakita noong Marso 2024.
Talaan ng mga Nilalaman
Sinisikap ng mga Banta na Aktor na Kunin ang mga Detalye ng Payment Card
Ang pangunahing layunin ng mga pag-atake na ito ay upang i-clone ang data ng near-field communication (NFC) mula sa mga pisikal na card ng pagbabayad ng mga biktima gamit ang NGate. Ang na-harvest na impormasyon ay ipinapadala sa isang device na kinokontrol ng attacker, na ginagaya ang orihinal na card upang mag-withdraw ng pera mula sa isang ATM.
Nagmula ang NGate sa isang lehitimong tool na tinatawag na NFCGate, na unang binuo noong 2015 para sa mga layunin ng pananaliksik sa seguridad.
Ang diskarte sa pag-atake ay malamang na nagsasangkot ng pinaghalong social engineering at SMS phishing, kung saan ang mga user ay nalinlang sa pag-install ng NGate sa pamamagitan ng pag-redirect sa mga panandaliang domain na gumagaya sa mga lehitimong website ng pagbabangko o opisyal na mobile banking app sa Google Play store.
Natuklasan ang Ilang Mapanganib na Aplikasyon ng NGate
Sa pagitan ng Nobyembre 2023 at Marso 2024, anim na magkakaibang mga aplikasyon ng NGate ang natukoy bago malamang na ihinto ang mga aktibidad dahil sa pag-aresto sa isang 22-taong-gulang ng mga awtoridad ng Czech kaugnay ng pagnanakaw ng pondo ng ATM.
Hindi lamang sinasamantala ng NGate ang functionality ng NFCGate upang makuha at i-relay ang trapiko ng NFC sa isa pang device ngunit hinihimok din ang mga user na maglagay ng sensitibong impormasyon sa pananalapi, tulad ng kanilang banking client ID, petsa ng kapanganakan at PIN ng card. Ang pahina ng phishing na ito ay ipinapakita sa loob ng isang WebView.
Bilang karagdagan, ang application ay nagtuturo sa mga user na paganahin ang tampok na NFC sa kanilang mga smartphone at hawakan ang kanilang card sa pagbabayad sa likod ng device hanggang sa ang card ay makilala ng malisyosong application.
Tinatawag ng mga Attacker ang mga Biktima para Samantalahin Pa Sila
Ang mga pag-atake ay higit pang nagpatibay ng isang mapanlinlang na diskarte sa mga biktima, pagkatapos na mai-install ang PWA o WebAPK app sa pamamagitan ng mga link na ipinadala sa pamamagitan ng mga mensaheng SMS, ang kanilang mga kredensyal ay na-phish at pagkatapos ay tumanggap ng mga tawag mula sa aktor ng pagbabanta, na nagpapanggap bilang isang empleyado ng bangko at ipinapaalam sa kanila na ang kanilang bank account ay nakompromiso bilang resulta ng pag-install ng application.
Pagkatapos ay inutusan silang baguhin ang kanilang PIN at i-validate ang kanilang banking card gamit ang ibang mobile application (ibig sabihin, NGate), isang link sa pag-install na ipinapadala rin sa pamamagitan ng SMS. Walang katibayan na ang mga app na ito ay ipinamahagi sa pamamagitan ng Google Play Store.
Gumagamit ang NGate ng dalawang natatanging server upang mapadali ang mga operasyon nito. Ang una ay isang website ng phishing na idinisenyo upang akitin ang mga biktima na magbigay ng sensitibong impormasyon at may kakayahang magsimula ng pag-atake ng NFC relay. Ang pangalawa ay isang NFCGate relay server na naatasang mag-redirect ng trapiko ng NFC mula sa device ng biktima patungo sa attacker.
