Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott crimeware kampányt, amely három cseh bank ügyfeleit vette célba. Az NGate-nek elnevezett Android alapú kártékony szoftver újszerű módon képes az áldozatok bankkártya adatait a támadók telefonjára továbbítani.
A támadók elsődleges célja az volt, hogy ATM-eken keresztül készpénzt vegyenek fel az áldozatok bankszámláiról. Ezt úgy érték el, hogy a fizikai bankkártyák megszerzett NFC-adatait a támadók készülékére továbbították az NGate malware segítségével.
Amennyiben ez a módszer esetleg sikertelen volt, a tetteseknek még arra is volt egy tartalék terve, hogy az áldozatok számláiról más bankszámlákra utaljanak át pénzösszegeket.
A 2010-es évek második felében új fizetési szabványként jelent meg a rádiófrekvenciás azonosításból (RFID) kifejlesztett közelmezős kommunikáció (Near Field Communication, NFC). Ezzel a technológiával az eredeti chipalapú bankkártyák még felhasználóbarátabbá váltak, mivel fizetési terminálokba és ATM-ekbe való behelyezés helyett itt a pénz küldéséhez elég egy NFC-kompatibilis fizetési eszköz közelébe tartani a kártyát. Szakértők korábban még soha nem találkoztak korábban ilyen típusú NFC átviteli technikával, mint ami most felbukkant.
A módszer egy NFCGate nevű eszközön alapul, amelyet a németországi Darmstadti Műszaki Egyetem hallgatói fejlesztettek ki NFC forgalom rögzítésére, elemzésére és módosítására ("Please do not use this application for malicious purposes."), innen nevezték el az új malware-családot NGate-nek.
Az áldozatokat azzal vették rá a rosszindulatú program telepítésére, hogy például elhitették velük, hogy éppen a bankjukkal kommunikálnak arról, hogy az eszközüket állítólag feltörték. Valójában azonban maguk a felhasználók fertőzték meg az Android-eszközeiket azzal, hogy előzőleg telepítettek egy kétes alkalmazást a csalóktól érkezett linkről, amit egy állítólagos adó-visszatérítésről szóló SMS-ben küldtek ki. Az NGate soha nem volt elérhető a hivatalos Google Play áruházban, csak spamek linkjében szerepelt.
Az NGate Android kártevő egy 2023. novembere óta Csehországban aktív támadó adathalász tevékenységéhez kapcsolódik. A szakértők ugyanakkor úgy vélik, hogy ezeket a gyanús tevékenységeket egy 2024. márciusában történt letartóztatás után felfüggesztették.
Az ESET először 2023. november végén észlelte a fenyegetést, amely neves cseh bankok ügyfeleit vette célba. A rosszindulatú programokat rövid ideig működő domaineken keresztül terjesztették, amelyek hiteles banki weboldalakat vagy a Google Play áruházban elérhető hivatalos mobilbanki alkalmazásokat imitáltak. Ezeket a hamis domaineket az ESET Brand Intelligence Service azonosította, és jelezte az ügyfelei felé.
Az elkövetők a progresszív webalkalmazások (PWA-k) lehetőségeit használták ki, majd később továbbfejlesztették stratégiájukat azzal, hogy a PWA-k egy kifinomultabb, WebAPK-ként ismert verzióját használták. A művelet finomhangolása végül az NGate malware alkalmazásával csúcsosodott ki.
2024. márciusában felfedezték, hogy az NGate Android malware ugyanazokon az oldalakon vált elérhetővé, amelyeket korábban adathalász kampányok során használtak rosszindulatú PWA-k és WebAPK-k terjesztésére. Telepítés után az NGate egy hamis adathalász webhelyet jelenített meg, amely a felhasználó banki adatait kérte, és azokat a támadó szerverére küldte.
Az adathalász funkciói mellett az NGate malware egy NFCGate nevű szoftvert is tartalmaz, amelyet arra használtak fel, hogy NFC adatokat továbbítson két eszköz – az áldozat és az elkövető készüléke – között. Az NGate arra is felkérte az áldozatokat, hogy adják meg érzékeny adataikat, például a banki ügyfél-azonosítójukat, a születési dátumukat és a bankkártyájuk PIN-kódját, továbbá javasolta nekik, hogy kapcsolják be az NFC funkciót okostelefonjukon. Ezt követően az áldozatoknak a bankkártyájukat az okostelefon hátuljához kellett helyezniük, amíg a kártékony alkalmazás fel nem ismerte a kártyát.
Az NGate malware által használt technikán kívül a támadó, ha fizikai hozzáféréssel rendelkezik a bankkártyákhoz, potenciálisan le is másolhatja azokat.
Ezt a technikát olyan elkövető alkalmazhatja, aki a közelben lévő kártyákat őrizetlenül hagyott táskákon, pénztárcákon, hátizsákokon vagy bankkártyák tárolására alkalmas okostelefon-tokokon keresztül próbálja meg illetéktelenül leolvasni, például nyilvános és zsúfolt helyeken. Azonban ez a forgatókönyv általában csak kis összegű érintés nélküli fizetéseket tett lehetővé a terminálokon.
Az ilyen összetett támadások elleni védekezéshez mindenkinek ismernie kell, hogyan léphet fel hatékonyan az adathalászat, a social engineering és az Android malware taktikák ellen. Ez magában foglalja, hogy naprakész védelmi megoldást futtassunk az okostelefonunkon, mindig ellenőrizzük a webhelyek URL címeit, csak a hivatalos áruházakból töltsünk le alkalmazásokat, soha ne adjuk ki a PIN-kódunkat, kapcsoljuk ki az NFC funkciót, amikor nincs rá szükségünk, illetve védőtokokat vagy hitelesítéssel védett virtuális kártyákat használjunk.
További részletes technikai információk az új NFC fenyegetésről angol nyelven ezen a linken olvashatók.