NGate Mobil Kötü Amaçlı Yazılım
Siber güvenlik araştırmacıları, kurbanların fiziksel kredi ve banka kartlarındaki temassız ödeme verilerini saldırganların kontrol ettiği bir cihaza aktararak sahtekarlık amaçlı işlemlere olanak tanıyan yeni bir Android kötü amaçlı yazılımı tespit etti.
NGate olarak bilinen bu kötü amaçlı yazılım, öncelikli olarak Çek Cumhuriyeti'ndeki üç bankayı hedef alıyor. NGate, tehdit edici bir uygulamanın yüklendiği kurbanın Android cihazından ödeme kartı verilerini saldırganın rootlanmış Android telefonuna aktararak çalışıyor.
Bu operasyon, Kasım 2023'ten beri aktif olan ve Çekya'daki finansal kuruluşları tehlikeye atılmış ilerici Web uygulamaları (PWA'lar) ve WebAPK'lar aracılığıyla hedef alan daha geniş bir kampanyanın parçasıdır. NGate'in bilinen ilk örneği Mart 2024'te tespit edildi.
İçindekiler
Tehdit Aktörleri Ödeme Kartı Ayrıntılarını Toplamaya Çalışıyor
Bu saldırıların temel amacı, NGate kullanarak kurbanların fiziksel ödeme kartlarından yakın alan iletişimi (NFC) verilerini klonlamaktır. Toplanan bilgiler daha sonra saldırgan tarafından kontrol edilen bir cihaza iletilir ve bu cihaz, bir ATM'den para çekmek için orijinal kartı taklit eder.
NGate, ilk olarak 2015 yılında güvenlik araştırmaları amacıyla geliştirilen NFCGate adlı meşru bir araçtan türemiştir.
Saldırı stratejisi muhtemelen sosyal mühendislik ve SMS kimlik avının bir karışımını içeriyor. Kullanıcılar, Google Play mağazasındaki meşru bankacılık sitelerini veya resmi mobil bankacılık uygulamalarını taklit eden kısa ömürlü etki alanlarına yönlendirilerek NGate'i yüklemeye kandırılıyor.
Birkaç Tehdit Edici NGate Uygulaması Ortaya Çıkarıldı
Kasım 2023 ile Mart 2024 arasında, NGate'e ait altı farklı uygulama tespit edildi ve bu uygulamalar, Çek yetkililer tarafından ATM fon hırsızlığıyla bağlantılı olarak 22 yaşındaki bir gencin tutuklanması nedeniyle muhtemelen durduruldu.
NGate, NFCGate'in işlevselliğini yalnızca NFC trafiğini yakalamak ve başka bir cihaza iletmek için kullanmakla kalmaz, aynı zamanda kullanıcılardan bankacılık müşteri kimlikleri, doğum tarihleri ve kart PIN'leri gibi hassas finansal bilgileri girmelerini ister. Bu kimlik avı sayfası bir WebView içinde görüntülenir.
Uygulama ayrıca kullanıcılara akıllı telefonlarında NFC özelliğini etkinleştirmeleri ve ödeme kartlarını kötü amaçlı uygulama tarafından tanınana kadar cihazın arkasına tutmaları talimatını veriyor.
Saldırganlar, Kurbanları Arayarak Kendilerini Daha Fazla Sömürmelerini Sağlıyor
Saldırılar, kurbanların SMS mesajları aracılığıyla gönderilen bağlantılarla PWA veya WebAPK uygulamasını yükledikten sonra kimlik bilgilerinin çalınması ve ardından banka çalışanı gibi davranan ve uygulamayı yükledikleri için banka hesaplarının ele geçirildiğini bildiren tehdit aktöründen telefon almaları şeklinde sinsi bir yaklaşım benimsiyor.
Daha sonra PIN kodlarını değiştirmeleri ve banka kartlarını farklı bir mobil uygulama (yani NGate) kullanarak doğrulamaları talimatı verilir ve bu uygulamaya bir yükleme bağlantısı da SMS ile gönderilir. Bu uygulamaların Google Play Store aracılığıyla dağıtıldığına dair bir kanıt yoktur.
NGate, operasyonlarını kolaylaştırmak için iki ayrı sunucu kullanır. Birincisi, kurbanları hassas bilgiler vermeye çekmek için tasarlanmış ve bir NFC röle saldırısı başlatma yeteneğine sahip bir kimlik avı web sitesidir. İkincisi, NFC trafiğini kurbanın cihazından saldırganın cihazına yönlendirmekle görevli bir NFCGate röle sunucusudur.
