Istraživači kibernetičke sigurnosti otkrili su novi maliciozni softver za Android koji može prenijeti podatke o beskontaktnom plaćanju žrtava sa fizičkih kreditnih i debitnih kartica na uređaj koji kontroliše napadač s ciljem provođenja lažnih operacija.
Slovačka kompanija za sajber bezbjednost prati novi maliciozni softver kao NGate, navodeći da je promatrala kampanju kriminalnog softvera usmjerenu na tri banke u Češkoj.
Maliciozni softver “ima jedinstvenu mogućnost da prenosi podatke sa platnih kartica žrtava, putem maliciozne aplikacije instalirane na njihovim Android uređajima, na napadačev rootan Android telefon”, rekli su istraživači Lukáš Štefanko i Jakub Osmani u analizi.
Aktivnost je dio šire kampanje za koju je utvrđeno da cilja finansijske institucije u Češkoj od novembra 2023. koristeći maliciozne progresivne web aplikacije (PWA) i WebAPK-ove. Prva zabilježena upotreba NGate-a bila je u martu 2024.
Krajnji cilj napada je kloniranje podataka bliskog polja (NFC) sa fizičkih platnih kartica žrtava pomoću NGate-a i prenošenje informacija na uređaj napadača koji zatim oponaša originalnu karticu za podizanje novca sa bankomata.
NGate ima svoje korijene u legitimnom alatu pod nazivom NFCGate , koji je prvobitno razvijen 2015. godine za potrebe istraživanja sigurnosti od strane studenata Laboratorije za sigurno umrežavanje mobilnih uređaja na TU Darmstadt.
Vjeruje se da lanci napada uključuju kombinaciju društvenog inženjeringa i SMS krađe identiteta kako bi naveli korisnike da instaliraju NGate usmjeravajući korisnike na kratkotrajne domene koji se imitiraju kao legitimne bankarske web stranice ili zvanične aplikacije za mobilno bankarstvo dostupne u Google Play trgovini.
Do danas je identifikovano čak šest različitih NGate aplikacija između novembra 2023. i marta 2024. godine, kada su aktivnosti zaustavljene vjerovatno nakon hapšenja 22 -godišnjaka od strane čeških vlasti u vezi s krađom sredstava s bankomata.
NGate, osim što zloupotrebljava funkcionalnost NFCGate-a za hvatanje NFC prometa i prosljeđivanje na drugi uređaj, traži od korisnika da unesu osjetljive finansijske informacije, uključujući ID bankovnog klijenta, datum rođenja i PIN kod svoje bankarske kartice. Stranica za krađu identiteta je predstavljena unutar WebViewa .
„Takođe se od njih traži da uključe NFC funkciju na svom pametnom telefonu“, rekli su istraživači. “Zatim, žrtvama se nalaže da stave svoju platnu karticu na poleđinu svog pametnog telefona dok maliciozna aplikacija ne prepozna karticu.”
Napadi dalje usvajaju podmukli pristup da žrtve, nakon što su instalirale PWA ili WebAPK aplikaciju putem linkova poslanih putem SMS poruka, kradu svoje akreditive i nakon toga primaju pozive od hakera, koji se pretvara da je zaposlenik banke i obavještava ih da je njihov bankovni račun narušen kao rezultat instaliranja aplikacije.
Nakon toga dobijaju instrukcije da promijene svoj PIN i potvrde svoju bankovnu karticu koristeći drugu mobilnu aplikaciju (npr. NGate), instalacijski link do koje se također šalje putem SMS-a. Nema dokaza da su ove aplikacije distribuisane putem Google Play trgovine.
“NGate koristi dva različita servera kako bi olakšao svoje operacije”, objasnili su istraživači. “Prva je phishing web stranica dizajnirana da namami žrtve na pružanje osjetljivih informacija i može pokrenuti NFC relejni napad. Drugi je NFCGate relejni server koji ima zadatak da preusmjeri NFC promet sa uređaja žrtve na uređaj napadača.”
Otkrivanje dolazi kada je Zscaler ThreatLabz detaljno opisao novu varijantu poznatog Android bankovnog trojanca pod nazivom Copybara koji se širi putem glasovnih phishing (vishing) napada i namami ih da unesu akreditive svog bankovnog računa.
“Ova nova varijanta Copybare je aktivna od novembra 2023. i koristi MQTT protokol za uspostavljanje komunikacije sa svojim serverom za komandu i kontrolu (C2)”, rekao je Ruchna Nigam .
“Maliciozni softver zloupotrebljava funkciju pristupačnosti koja je izvorna za Android uređaje kako bi izvršio granularnu kontrolu nad zaraženim uređajem. U pozadini, maliciozni softver također preuzima phishing stranice koje imitiraju popularne mjenjačnice kriptovaluta i finansijske institucije uz korištenje njihovih logotipa i imena aplikacija.”
Izvor: TheHackerNews