新型安卓恶意软件 NGate 窃取 NFC 数据克隆非接触式支付卡

阅读量24002

发布时间 : 2024-08-27 11:05:20

x
译文声明

本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/08/new-android-malware-ngate-steals-nfc.html

译文仅供参考,具体内容表达以及含义原文为准。

网络安全研究人员发现了新的 Android 恶意软件,该恶意软件可以将受害者的非接触式支付数据从实体信用卡和借记卡中继到攻击者控制的设备,目的是进行欺诈操作。

这家斯洛伐克网络安全公司正在以 NGate 的身份跟踪这种新型恶意软件,并表示它观察到针对捷克三家银行的犯罪软件活动。

研究人员 Lukáš Štefanko 和 Jakub Osmani 在一项分析中表示,该恶意软件“具有独特的能力,可以通过安装在受害者 Android 设备上的恶意应用程序将数据从受害者的支付卡中继到攻击者的 root Android 手机”。

该活动是自 2023 年 11 月以来发现使用恶意渐进式 Web 应用程序 (PWA) 和 WebAPK 针对捷克金融机构的更广泛活动的一部分。NGate 的首次使用记录是在 2024 年 3 月。

攻击的最终目标是使用 NGate 从受害者的物理支付卡中克隆近场通信 (NFC) 数据,并将信息传输到攻击者设备,然后该设备模拟原始卡从 ATM 取款。

NGate 源于一个名为 NFCGate 的合法工具,该工具最初由达姆施塔特工业大学安全移动网络实验室的学生于 2015 年开发,用于安全研究目的。

据信,这些攻击链涉及社会工程和 SMS 网络钓鱼的结合,通过将用户引导至冒充合法银行网站或 Google Play 商店中可用的官方移动银行应用程序的短期域来诱骗用户安装 NGate。

迄今为止,在 2023 年 11 月至 2024 年 3 月期间,已确定了多达 6 个不同的 NGate 应用程序,当时这些活动可能是在捷克当局逮捕了一名 22 岁的男子后停止的,他涉嫌从 ATM 机上窃取资金。

NGate 除了滥用 NFCGate 的功能来捕获 NFC 流量并将其传递给另一台设备外,还提示用户输入敏感的财务信息,包括银行客户 ID、出生日期和银行卡的 PIN 码。网络钓鱼页面显示在 WebView 中。

“它还要求他们打开智能手机上的 NFC 功能,”研究人员说。“然后,受害者被指示将他们的支付卡放在智能手机的背面,直到恶意应用程序识别出该卡。”

这些攻击进一步采用了一种阴险的方法,受害者在通过 SMS 消息发送的链接安装 PWA 或 WebAPK 应用程序后,他们的凭据被网络钓鱼,随后接到威胁行为者的电话,威胁行为者假装是银行员工,并通知他们他们的银行账户因安装该应用程序而被盗用。

随后,他们被指示更改他们的 PIN 码并使用不同的移动应用程序(即 NGate)验证他们的银行卡,该应用程序的安装链接也通过短信发送。没有证据表明这些应用程序是通过 Google Play 商店分发的。

“NGate 使用两个不同的服务器来促进其操作,”研究人员解释说。“第一个是网络钓鱼网站,旨在引诱受害者提供敏感信息并能够发起 NFC 中继攻击。第二个是 NFCGate 中继服务器,其任务是将 NFC 流量从受害者的设备重定向到攻击者的设备。

在披露这一消息的同时,Zscaler ThreatLabz 详细介绍了一种名为 Copybara 的已知 Android 银行木马的新变体,该木马通过语音网络钓鱼(电话钓鱼)攻击传播并引诱他们输入他们的银行账户凭据。

“Copybara 的这种新变体自 2023 年 11 月以来一直活跃,并利用 MQTT 协议与其命令和控制 (C2) 服务器建立通信,”Ruchna Nigam 说。

“该恶意软件滥用 Android 设备原生的辅助功能服务功能,对受感染的设备进行精细控制。在后台,该恶意软件还继续下载网络钓鱼页面,这些页面使用其徽标和应用程序名称模仿流行的加密货币交易所和金融机构。

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66