NGate 移动恶意软件

通过Mezo在 Mobile Malware

翻译为：

网络安全研究人员发现了一种新的 Android 恶意软件，该恶意软件能够将受害者的非接触式支付数据从实体信用卡和借记卡转发到攻击者控制的设备，从而实现欺诈交易。

这种恶意软件名为 NGate，主要针对捷克共和国的三家银行。NGate 的工作原理是将支付卡数据从安装了威胁应用程序的受害者的 Android 设备传输到攻击者已 root 的 Android 手机。

此次行动是自 2023 年 11 月以来的一项更广泛活动的一部分，该活动通过受感染的渐进式 Web 应用程序 (PWA) 和 WebAPK 针对捷克的金融机构。NGate 的第一个已知实例是在 2024 年 3 月检测到的。

这些攻击的主要目的是利用 NGate 从受害者的实体支付卡中克隆近场通信 (NFC) 数据。然后将收集到的信息传输到攻击者控制的设备，该设备模拟原始卡从 ATM 取款。

NGate 源自一个名为 NFCGate 的合法工具，最初于 2015 年为安全研究目的而开发。

该攻击策略可能涉及社会工程学和短信网络钓鱼的混合，用户被重定向到模仿合法银行网站或 Google Play 商店上的官方手机银行应用程序的短暂域名，从而被欺骗安装 NGate。

2023 年 11 月至 2024 年 3 月期间，六个不同的 NGate 应用程序被发现，但由于捷克当局逮捕了一名涉嫌 ATM 资金盗窃的 22 岁男子，这些活动很可能已停止。

NGate 不仅利用 NFCGate 的功能捕获 NFC 流量并将其转发到另一台设备，还会提示用户输入敏感的财务信息，例如银行客户 ID、出生日期和卡 PIN。此钓鱼页面显示在 WebView 中。

此外，该应用程序还指示用户在智能手机上启用 NFC 功能，并将支付卡靠在设备背面，直到恶意应用程序识别该卡。

攻击进一步采取了一种阴险的方式，受害者在通过短信发送的链接安装了 PWA 或 WebAPK 应用程序后，他们的凭证就会被钓鱼，随后会接到威胁行为者的电话，威胁行为者会假装是银行职员，通知他们安装该应用程序后，他们的银行账户已经被盗用。

随后，他们被要求更改 PIN 码并使用另一个移动应用程序（即 NGate）验证银行卡，安装链接也通过短信发送。没有证据表明这些应用程序是通过 Google Play 商店分发的。

NGate 使用两个不同的服务器来促进其运作。第一个是钓鱼网站，旨在诱骗受害者提供敏感信息，并能够发起 NFC 中继攻击。第二个是 NFCGate 中继服务器，其任务是将 NFC 流量从受害者的设备重定向到攻击者的设备。

搜索