Phần mềm độc hại NGate Mobile
Các nhà nghiên cứu an ninh mạng đã xác định được một phần mềm độc hại Android mới có khả năng chuyển tiếp dữ liệu thanh toán không tiếp xúc của nạn nhân từ thẻ tín dụng và thẻ ghi nợ vật lý đến thiết bị do kẻ tấn công kiểm soát, cho phép thực hiện các giao dịch gian lận.
Phần mềm độc hại này, được gọi là NGate, chủ yếu nhắm vào ba ngân hàng tại Cộng hòa Séc. NGate hoạt động bằng cách chuyển dữ liệu thẻ thanh toán từ thiết bị Android của nạn nhân, nơi đã cài đặt ứng dụng đe dọa, sang điện thoại Android đã root của kẻ tấn công.
Hoạt động này là một phần của chiến dịch rộng hơn, hoạt động từ tháng 11 năm 2023, nhắm vào các tổ chức tài chính ở Cộng hòa Séc thông qua các ứng dụng web tiến bộ (PWA) và WebAPK bị xâm phạm. Trường hợp đầu tiên được biết đến của NGate được phát hiện vào tháng 3 năm 2024.
Mục lục
Các tác nhân đe dọa cố gắng thu thập thông tin chi tiết về thẻ thanh toán
Mục tiêu chính của các cuộc tấn công này là sao chép dữ liệu giao tiếp trường gần (NFC) từ thẻ thanh toán vật lý của nạn nhân bằng NGate. Thông tin thu thập được sau đó được truyền đến một thiết bị do kẻ tấn công kiểm soát, mô phỏng thẻ gốc để rút tiền từ máy ATM.
NGate có nguồn gốc từ một công cụ hợp pháp có tên là NFCGate, ban đầu được phát triển vào năm 2015 cho mục đích nghiên cứu bảo mật.
Chiến lược tấn công có thể bao gồm sự kết hợp giữa kỹ thuật xã hội và lừa đảo qua tin nhắn SMS, trong đó người dùng bị lừa cài đặt NGate bằng cách bị chuyển hướng đến các tên miền tồn tại trong thời gian ngắn mô phỏng các trang web ngân hàng hợp pháp hoặc ứng dụng ngân hàng di động chính thức trên cửa hàng Google Play.
Một số ứng dụng NGate đe dọa đã được phát hiện
Từ tháng 11 năm 2023 đến tháng 3 năm 2024, sáu ứng dụng NGate khác nhau đã được xác định trước khi các hoạt động này có khả năng bị dừng lại do chính quyền Séc bắt giữ một thanh niên 22 tuổi có liên quan đến hành vi trộm tiền ATM.
NGate không chỉ khai thác chức năng của NFCGate để nắm bắt và chuyển tiếp lưu lượng NFC đến thiết bị khác mà còn nhắc nhở người dùng nhập thông tin tài chính nhạy cảm, chẳng hạn như ID khách hàng ngân hàng, ngày sinh và mã PIN thẻ. Trang lừa đảo này được hiển thị trong WebView.
Ngoài ra, ứng dụng còn hướng dẫn người dùng bật tính năng NFC trên điện thoại thông minh và giữ thẻ thanh toán ở mặt sau của thiết bị cho đến khi ứng dụng độc hại nhận dạng được thẻ.
Kẻ tấn công gọi nạn nhân để tiếp tục khai thác họ
Các cuộc tấn công này còn sử dụng cách tiếp cận tinh vi hơn là sau khi nạn nhân cài đặt ứng dụng PWA hoặc WebAPK thông qua liên kết được gửi qua tin nhắn SMS, thông tin đăng nhập của họ sẽ bị đánh cắp và sau đó nhận được cuộc gọi từ kẻ tấn công, kẻ này giả danh là nhân viên ngân hàng và thông báo rằng tài khoản ngân hàng của họ đã bị xâm phạm do cài đặt ứng dụng.
Sau đó, họ được hướng dẫn thay đổi mã PIN và xác thực thẻ ngân hàng của mình bằng một ứng dụng di động khác (ví dụ: NGate), liên kết cài đặt cũng được gửi qua SMS. Không có bằng chứng nào cho thấy các ứng dụng này được phân phối qua Cửa hàng Google Play.
NGate sử dụng hai máy chủ riêng biệt để tạo điều kiện cho hoạt động của mình. Đầu tiên là một trang web lừa đảo được thiết kế để dụ nạn nhân cung cấp thông tin nhạy cảm và có khả năng khởi tạo một cuộc tấn công chuyển tiếp NFC. Thứ hai là một máy chủ chuyển tiếp NFCGate có nhiệm vụ chuyển hướng lưu lượng NFC từ thiết bị của nạn nhân đến thiết bị của kẻ tấn công.
