Az ESET által NGate-nek elnevezett Android alapú kártékony szoftver újszerű módon képes az áldozatok bankkártyáinak adatait a támadók telefonjára továbbítani.A támadók elsődleges célja az volt, hogy ATM-eken keresztül készpénzt vegyenek fel az áldozatok bankszámláiról.Ezt úgy érték el, hogy a fizikai bankkártyák NFC-adatait a támadó készülékére továbbították az NGate malware segítségével. Amennyiben ez a módszer sikertelen volt, a tettesnek még arra is volt egy tartalék terve, hogy az áldozatok számláiról más bankszámlákra utaljon át pénzösszegeket.
A 2010-es évek második felében új fizetési szabványként jelent meg a rádiófrekvenciás azonosításból (RFID) kifejlesztett közelmezős kommunikáció (Near Field Communication, NFC). Ezzel a technológiával az eredeti chipalapú bankkártyák még felhasználóbarátabbá váltak, mivel ahelyett, hogy a fizetési terminálokba és ATM-ekbe kellene behelyezni őket, a pénz küldéséhez elég egy NFC-kompatibilis fizetési eszköz közelébe tartani a kártyát.
Az ESET kiberbiztonsági szakértői még soha nem találkoztak korábban ilyen típusú NFC átviteli technikával. A módszer egy NFCGate nevű eszközön alapul, amelyet a németországi Darmstadti Műszaki Egyetem hallgatói fejlesztettek ki NFC forgalom rögzítésére, elemzésére és módosítására; ezért nevezték el az új malware-családot felfedező ESET kutatók NGate-nek.
Az áldozatokat azzal vették rá a rosszindulatú program telepítésére, hogy elhitették velük, hogy a bankjukkal kommunikálnak arról, hogy az eszközüket állítólag feltörték. Valójában azonban maguk a felhasználók fertőzték meg az Android-eszközeiket azzal, hogy előzőleg telepítettek egy alkalmazást a csalóktól érkezett linkről, amit egy adóvisszatérítésről szóló SMS-ben küldtek ki. Fontos megjegyezni, hogy az NGate soha nem volt elérhető a hivatalos Google Play áruházban.
A kép forrása: Financial Fraud / Mobile Security
Az NGate Android kártevő egy 2023 novembere óta Csehországban aktív támadó adathalász tevékenységéhez kapcsolódik. Az ESET kiberbiztonsági szakértői ugyanakkor úgy vélik, hogy ezeket a tevékenységeket egy 2024 márciusában történt letartóztatás után felfüggesztették. Az ESET kutatócsapata először 2023. november végén észlelte a fenyegetést, amely vezető cseh bankok ügyfeleit vette célba. A rosszindulatú programokat rövid ideig működő domaineken keresztül terjesztették, amelyek hiteles banki weboldalakat vagy a Google Play áruházban elérhető hivatalos mobilbanki alkalmazásokat imitáltak. Ezeket a hamis domaineket az ESET Brand Intelligence Service azonosította, és jelezte az ügyfelei felé.
Az elkövetők a progresszív webalkalmazások (PWA-k) lehetőségeit használták ki, majd később továbbfejlesztették stratégiájukat azzal, hogy a PWA-k egy kifinomultabb, WebAPK-ként ismert verzióját használták. A művelet végül az NGate malware alkalmazásával csúcsosodott ki.
2024 márciusában az ESET kutatói felfedezték, hogy az NGate Android malware ugyanazokon az oldalakon vált elérhetővé, amelyeket korábban adathalász kampányok során használtak rosszindulatú PWA-k és WebAPK-k terjesztésére. Telepítés után az NGate egy hamis adathalász webhelyet jelenít meg, amely a felhasználó banki adatait kéri, és azokat a támadó szerverére küldi.
Az adathalász funkciói mellett az NGate malware egy NFCGate nevű szoftvert is tartalmaz, amelyet arra használnak fel, hogy NFC adatokat továbbítson két eszköz – az áldozat és az elkövető készüléke – között. Az NGate arra is felszólítja az áldozatokat, hogy adják meg érzékeny adataikat, például a banki ügyfélazonosítójukat, a születési dátumukat és a bankkártyájuk PIN-kódját, továbbá arra kéri őket, hogy kapcsolják be az NFC funkciót okostelefonjukon. Ezt követően az áldozatoknak a bankkártyájukat az okostelefon hátuljához kell helyezniük, amíg a kártékony alkalmazás fel nem ismeri a kártyát.
A kép forrása: ESET
Az NGate malware által használt technikán kívül a támadó, ha fizikai hozzáféréssel rendelkezik a bankkártyákhoz, potenciálisan lemásolhatja azokat. Ezt a technikát olyan elkövető alkalmazhatja, aki a kártyákat őrizetlenül hagyott táskákon, pénztárcákon, hátizsákokon vagy bankkártyák tárolására alkalmas okostelefon-tokokon keresztül próbálja meg illetéktelenül leolvasni, például nyilvános és zsúfolt helyeken. Azonban ez a forgatókönyv általában csak kis összegű érintés nélküli fizetésekre korlátozódik a terminálokon.
„Egészen meglepő és újszerű volt ez a módszer. Az ilyen összetett támadások elleni védekezéshez mindenkinek ismernie kell, hogyan léphet fel hatékonyan az adathalászat, a social engineering és az Android malware taktikák ellen. Ez magában foglalja, hogy naprakész védelmi megoldást futtassunk az okostelefonunkon, mindig ellenőrizzük a webhelyek URL címeit, csak a hivatalos áruházakból töltsünk le alkalmazásokat, soha ne adjuk ki a PIN-kódjainkat, kapcsoljuk ki az NFC funkciót, amikor nincs rá szükségünk, illetve védőtokokat vagy hitelesítéssel védett virtuális kártyákat használjunk” – tanácsolja Csizmazia-Darab István, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője, a Hackfelmetszők - Veled is megtörténhet kiberbiztonsági podcast állandó szereplője.
További részletes technikai információk az új NFC fenyegetésről itt olvashatók.
A támadás összefoglalása:
A borítóképek forrása: Puppetworks Animation Studio