ESET研究人员发现了NGate恶意软件,该恶意软件可以通过安装在其Android设备上的恶意应用程序将受害者支付卡中的数据中继到攻击者的rootAndroid手机。
攻击概述(来源:ESET)
未经授权的自动柜员机取款
该活动针对银行的主要目标是为未经授权的ATM取款提供便利,这些取款人可以合法地从受害者的银行账户中取款。这是通过使用 NGate Android 恶意软件将受害者的实体支付卡的 NFC 数据通过他们受感染的 Android 智能手机中继到攻击者的设备来实现的。
然后,攻击者使用此数据执行 ATM 交易。如果此方法失败,攻击者就会有一个后备计划,将资金从受害者的账户转移到其他银行账户。
“我们还没有在任何以前发现的Android恶意软件中看到这种新颖的NFC中继技术。该技术基于一种名为NFCGate的工具,该工具由德国达姆施塔特工业大学的学生设计,用于捕获、分析或更改NFC流量;因此,我们将这个新的恶意软件家族命名为 NGate,“发现了这种新型威胁和技术的 Lukáš Štefanko 说。
NGate Android 恶意软件活动
受害者在被欺骗后下载并安装了该恶意软件,以为他们正在与银行通信并且他们的设备遭到入侵。实际上,受害者在不知不觉中破坏了他们自己的 Android 设备,之前通过关于潜在纳税申报表的欺骗性短信中的链接下载和安装应用程序。
需要注意的是,NGate 从未在官方 Google Play 商店中提供过。
NGate Android 恶意软件与自 2023 年 11 月以来在捷克活动的威胁行为者的网络钓鱼活动有关。然而,ESET认为,在2024年3月逮捕一名嫌疑人后,这些活动被搁置了。ESET Research 首先注意到威胁行为者从 2023 年 11 月底开始针对捷克著名银行的客户。该恶意软件是通过冒充合法银行网站或 Google Play 商店中的官方移动银行应用程序的短期域传播的。
攻击者利用了渐进式 Web 应用程序 (PWA) 的潜力,但后来通过采用更复杂的 PWA 版本(称为 WebAPK)来改进其策略。最终,该行动最终以部署 NGate 恶意软件而告终。
收集个人信息
2024 年 3 月,ESET Research 发现 NGate Android 恶意软件在以前用于促进提供恶意 PWA 和 WebAPK 的网络钓鱼活动的分发域上可用。安装并打开后,NGate 会显示一个虚假网站,要求用户提供银行信息,然后将其发送到攻击者的服务器。
除了网络钓鱼功能外,NGate 恶意软件还附带一个名为 NFCGate 的工具,该工具被滥用于在两个设备之间中继 NFC 数据——受害者的设备和犯罪者的设备。其中一些功能仅适用于已获得 root 权限的设备;但是,在这种情况下,也可以从非 root 设备中继 NFC 流量。
NGate 还提示受害者输入敏感信息,例如他们的银行客户 ID、出生日期和银行卡的 PIN 码。它还要求他们在智能手机上打开 NFC 功能。然后,指示受害者将他们的支付卡放在智能手机的背面,直到恶意应用程序识别出该卡。
物理访问支付卡
除了 NGate 恶意软件使用的技术外,对支付卡具有物理访问权限的攻击者还可以复制和模拟它们。攻击者可能会使用这种技术,试图通过无人看管的钱包、钱包、背包或装有卡片的智能手机壳读取卡片,尤其是在公共和拥挤的地方。但是,这种情况通常仅限于在终端点进行小额非接触式支付。
“确保免受此类复杂攻击需要采取某些积极措施来应对网络钓鱼、社会工程和 Android 恶意软件等策略。这意味着检查网站的 URL、从官方商店下载应用程序、对 PIN 码保密、在智能手机上使用安全应用程序、在不需要时关闭 NFC 功能、使用保护套或使用受身份验证保护的虚拟卡,“Štefanko 建议道。
发表评论
您还未登录,请先登录。
登录