Зловмисне програмне забезпечення для мобільних пристроїв NGate
Дослідники з кібербезпеки виявили нове зловмисне програмне забезпечення для Android, здатне передавати дані безконтактних платежів жертв із фізичних кредитних і дебетових карток на пристрій, контрольований зловмисниками, що дозволяє здійснювати шахрайські транзакції.
Це зловмисне програмне забезпечення, відоме як NGate, націлене насамперед на три банки в Чехії. NGate працює шляхом передачі даних платіжної картки з Android-пристрою жертви, на якому встановлено загрозливий додаток, на рутований Android-телефон зловмисника.
Ця операція є частиною ширшої кампанії, яка триває з листопада 2023 року та спрямована на фінансові установи в Чехії через скомпрометовані прогресивні веб-додатки (PWA) і WebAPK. Перший відомий екземпляр NGate був виявлений у березні 2024 року.
Зміст
Злочинці намагаються отримати дані платіжної картки
Основною метою цих атак є клонування даних зв’язку ближнього поля (NFC) із фізичних платіжних карток жертв за допомогою NGate. Потім зібрана інформація передається на контрольований зловмисником пристрій, який емулює оригінальну картку для зняття грошей із банкомату.
NGate виник із законного інструменту під назвою NFCGate, спочатку розробленого в 2015 році для цілей дослідження безпеки.
Стратегія атаки, ймовірно, включає в себе поєднання соціальної інженерії та SMS-фішингу, коли користувачів обманом змушують встановити NGate шляхом перенаправлення на короткочасні домени, які імітують законні банківські веб-сайти або офіційні мобільні банківські програми в магазині Google Play.
Виявлено кілька загрозливих програм NGate
У період з листопада 2023 року по березень 2024 року було виявлено шість різних додатків NGate, перш ніж діяльність була, ймовірно, припинена через арешт чеською владою 22-річного хлопця у зв’язку з крадіжкою коштів банкомату.
NGate не тільки використовує функції NFCGate для захоплення та передачі NFC-трафіку на інший пристрій, але також пропонує користувачам ввести конфіденційну фінансову інформацію, таку як ідентифікатор банківського клієнта, дата народження та PIN-код картки. Ця фішингова сторінка відображається в WebView.
Крім того, додаток інструктує користувачів увімкнути функцію NFC на своїх смартфонах і притулити платіжну картку до задньої панелі пристрою, доки картку не розпізнає шкідлива програма.
Зловмисники викликають жертв, щоб далі використовувати їх
Крім того, атаки використовують підступний підхід, коли жертви після встановлення програми PWA або WebAPK за допомогою посилань, надісланих через SMS-повідомлення, піддаються фішингу своїх облікових даних і згодом отримують дзвінки від загрозливої особи, яка видає себе за працівника банку та повідомляє їм, що їхній банківський рахунок було зламано в результаті встановлення програми.
Потім вони отримують вказівки змінити свій PIN-код і підтвердити свою банківську картку за допомогою іншої мобільної програми (наприклад, NGate), посилання для встановлення якої також надсилається через SMS. Немає доказів того, що ці програми розповсюджувалися через Google Play Store.
NGate використовує два різні сервери для полегшення своїх операцій. Перший — це фішинговий веб-сайт, призначений для спонукання жертв надати конфіденційну інформацію та здатний ініціювати NFC-атаку. Другий — це ретрансляційний сервер NFCGate, завданням якого є перенаправлення NFC-трафіку з пристрою жертви на пристрій зловмисника.
