В тревожном развитии событий для мобильной безопасности, исследователи в области кибербезопасности выявили новый вид Android-малвари, названный NGate, который представляет значительную угрозу для систем бесконтактных платежей. Эта сложная малварь способна перехватывать и передавать данные платежей с физических кредитных и дебетовых карт жертв на устройства, контролируемые злоумышленниками, что способствует мошенническим транзакциям.
Целевая кампания против банков
Согласно отчету словацкой компании по кибербезопасности, малварь NGate была связана с целевой кампанией против трех банков в Чехии. Исследователи Лукаш Штефанко и Якуб Османи отметили, что эта малварь работает через вредоносное приложение, установленное на устройствах Android жертв, что позволяет передавать конфиденциальную платежную информацию на рутированное Android-устройство злоумышленника.
Малварь NGate является частью более крупной схемы, активной с ноября 2023 года, использующей вредоносные прогрессивные веб-приложения (PWA) и WebAPK для проникновения в финансовые учреждения. Первый зарегистрированный случай NGate появился в марте 2024 года, что ознаменовало начало тревожной тенденции в киберпреступности.
Методы атаки и социальная инженерия
Основная цель этих атак — клонирование данных ближнего поля (NFC) с платежных карт жертв. Как только данные захвачены, они отправляются на устройство, контролируемое злоумышленником, которое затем может имитировать оригинальную карту для снятия средств с банкоматов. Интересно, что NGate основан на легитимном инструменте под названием NFCGate, изначально разработанном для исследований безопасности студентами Технического университета Дармштадта в 2015 году.
Методология атаки включает комбинацию тактик социальной инженерии и фишинга через SMS. Жертвы часто вводятся в заблуждение и устанавливают NGate через обманные ссылки, которые имитируют легитимные банковские сайты или мобильные банковские приложения. Между ноябрем 2023 года и мартом 2024 года исследователи выявили шесть различных приложений NGate, которые прекратили свою деятельность после ареста 22-летнего подозреваемого чешскими властями за кражи, связанные с банкоматами.
Фишинг и манипуляции
NGate не только использует функциональность NFCGate для захвата трафика NFC, но и побуждает пользователей вводить конфиденциальную финансовую информацию, такую как идентификатор клиента банка, дата рождения и PIN-код. Эта фишинговая операция проводится через интерфейс WebView, где жертвам предлагается включить NFC на своих смартфонах и приложить свои платежные карты к задней части устройств для распознавания.
Усложняя атаки, жертвы, установившие вредоносное PWA или WebAPK, часто связываются с лицами, выдающими себя за сотрудников банка. Эти самозванцы информируют жертв о том, что их счета были скомпрометированы из-за установки приложения, дополнительно манипулируя ими для изменения PIN-кодов и проверки своих банковских карт через другое вредоносное приложение NGate, которое также распространяется через SMS-ссылки. Примечательно, что нет доказательств того, что эти вредоносные приложения были доступны через Google Play Store.
Исследователи подробно описали, что NGate работает с использованием двух различных серверов: один служит фишинговым веб-сайтом, предназначенным для извлечения конфиденциальной информации и инициирования атак с реле NFC, в то время как другой функционирует как сервер реле NFCGate, перенаправляющий трафик NFC с устройств жертв на системы злоумышленников.
В связанной заметке Zscaler ThreatLabz сообщил о новом варианте банковского трояна Copybara для Android, который распространяется через голосовой фишинг (вишинг). Этот вариант, активный с ноября 2023 года, использует протокол MQTT для связи со своим сервером команд и управления, используя функцию доступности Android для выполнения своих задач.