Złośliwe oprogramowanie NGate kradnie dane bankowe przez NFC

Firma ESET, zajmująca się bezpieczeństwem, poinformowała niedawno o złośliwym oprogramowaniu skierowanym głównie do użytkowników Android, które wykorzystuje atak socjotechniczny wraz ze skradzionym ruchem NFC w celu kradzieży danych bankowych dane bankowe od użytkowników. Nazwane Ngate, złośliwe oprogramowanie pozwala atakującym na kradzież pieniędzy z kont bankowych użytkowników. Atak jest wyjątkowy, ponieważ ma wiele ruchomych części i podobno jest pierwszym zaobserwowanym na wolności, który integruje przechwytywanie NFC jako część wieloaspektowego podejścia.

Sposób działania ataku jest stosunkowo prosty. Wszystko zaczyna się od przekonania użytkownika do zainstalowania fałszywej wersji wybranej aplikacji bankowej. Odbywa się to za pomocą złośliwych reklam lub progresywnych aplikacji internetowych, które naśladują oficjalne interfejsy Google Play i wybranych aplikacji bankowych, aby nakłonić użytkowników do zainstalowania czegoś, co według nich jest czymś innym, zwykle krytyczną aktualizacją zabezpieczeń. Jest to proces dwuczęściowy; część pierwsza ma na celu nakłonienie użytkowników do przyznania dostępu do ich sprzętu i danych bankowych, a część druga instaluje rzeczywiste złośliwe oprogramowanie.

Złośliwe oprogramowanie opiera się na zestawie narzędzi open source o nazwie NFCGate, który został opracowany przez niemieckich studentów w celu umożliwienia analizy lub zmiany ruchu NFC na urządzeniach hosta. Z drugiej strony NGate to aplikacja stworzona wyłącznie do nasłuchiwania i przesyłania danych. Gdy zainfekowane urządzenie zostanie zbliżone do karty bankowej z obsługą NFC lub dowolnego innego tagu lub karty z obsługą NFC, informacje nadawane przez NFC są przechwytywane przez urządzenie i przekazywane atakującym. Stamtąd mogą oni użyć urządzenia Android z włączonymi uprawnieniami roota, aby sklonować dane wyjściowe NFC. Dzięki temu mogą oszukać bankomat lub inny odbiornik NFC, myśląc, że trzymają tę kartę lub tag. Wraz z informacjami bankowymi skradzionymi w pierwszym kroku, pozwala im to uzyskać dostęp lub zmienić kod PIN ofiary i wypłacić pieniądze.

Stwierdzono, że atak ten jest aktywny w Czechach od co najmniej listopada 2023 roku. Wydaje się, że taktyka ta była stosowana na ograniczoną skalę, atakując klientów trzech czeskich banków za pośrednictwem sześciu fałszywych aplikacji. Jedna z osób wykorzystujących złośliwe oprogramowanie do kradzieży pieniędzy została aresztowana w Pradze w marcu 2024 r., mając przy sobie przybliżoną równowartość 6500 USD w skradzionych środkach. Jego tożsamość i narodowość nie zostały jeszcze ujawnione. W raporcie zauważono, że wydaje się, że wykorzystanie tego ataku ustało od czasu aresztowania.

Chociaż ESET uważa, że aktywność została zatrzymana, nie byłoby zbyt trudne dla innego atakującego, aby wybrać ten sam zestaw narzędzi i podejście, a następnie poddać go liftingowi dla nowej publiczności. Warto zauważyć, że żadnego oprogramowania zawierającego to konkretne złośliwe oprogramowanie nie można znaleźć w oficjalnym Sklepie Google Play. Google potwierdził to serwisowi informacyjnemu Bleeping Computer, stwierdzając, że Google Play Protect zawiera zabezpieczenia przed NGate.