NGate 行動惡意軟體

Mobile Malware 年Mezo年

翻譯為：

網路安全研究人員發現了一種新的 Android 惡意軟體，能夠將受害者的非接觸式支付資料從實體信用卡和金融卡轉發到攻擊者控制的設備，從而實現詐騙交易。

這種惡意軟體稱為 NGate，主要針對捷克共和國的三家銀行。 NGate 的工作原理是將支付卡資料從受害者安裝了威脅應用程式的 Android 裝置傳輸到攻擊者已 root 的 Android 手機。

此操作是自 2023 年 11 月以來活躍的更廣泛活動的一部分，該活動透過受損的漸進式 Web 應用程式 (PWA) 和 WebAPK 來針對捷克的金融機構。第一個已知的 NGate 實例於 2024 年 3 月被偵測到。

這些攻擊的主要目標是使用 NGate 從受害者的實體支付卡克隆近場通訊 (NFC) 資料。然後，收集到的資訊被傳輸到攻擊者控制的設備，該設備模擬原始卡片從 ATM 機上提款。

NGate 源自於名為 NFCGate 的合法工具，最初於 2015 年出於安全研究目的而開發。

這種攻擊策略可能涉及社會工程和簡訊網路釣魚的結合，用戶被重定向到模仿合法銀行網站或 Google Play 商店中官方行動銀行應用程式的短期域名，從而欺騙用戶安裝 NGate。

2023 年 11 月至 2024 年 3 月期間，發現了 6 個不同的 NGate 應用程序，之後活動可能因捷克當局逮捕了一名與 ATM 資金盜竊有關的 22 歲男子而停止。

NGate 不僅利用 NFCGate 的功能捕獲 NFC 流量並將其轉發到另一台設備，還提示用戶輸入敏感的財務信息，例如銀行客戶 ID、出生日期和卡 PIN 碼。此網路釣魚頁面顯示在 WebView 中。

此外，該應用程式還指示用戶啟用智慧型手機上的 NFC 功能，並將支付卡靠在裝置背面，直到該卡被惡意應用程式識別。

這些攻擊也採用了一種陰險的方法，受害者透過簡訊發送的連結安裝了PWA 或WebAPK 應用程式後，他們的憑證被釣魚，隨後接到來自威脅行為者的電話，威脅行為者冒充銀行員工，並通知他們：由於安裝該應用程序，他們的銀行帳戶已被洩露。

隨後，他們被指示更改 PIN 碼並使用不同的行動應用程式（即 NGate）驗證其銀行卡，該應用程式的安裝連結也透過 SMS 發送。沒有證據表明這些應用程式是透過 Google Play 商店分發的。

NGate 使用兩個不同的伺服器來促進其操作。第一個是網路釣魚網站，旨在引誘受害者提供敏感資訊並能夠發動 NFC 中繼攻擊。第二個是 NFCGate 中繼伺服器，負責將 NFC 流量從受害者的裝置重新導向到攻擊者的裝置。

搜索