近日，研究人員發(fā)現(xiàn)了一款名為 NGate 的惡意軟件，它可以通過惡意應(yīng)用程序?qū)⑹芎φ咧Ц犊ㄉ系臄?shù)據(jù)傳輸?shù)焦粽咭裷oot的安卓手機上。

未經(jīng)授權(quán)的 ATM 提款

該活動針對銀行的主要目的是從受害者的銀行賬戶中為未經(jīng)授權(quán)的 ATM 取款提供便利。具體來看，該活動主要是通過使用 NGate Android 惡意軟件，將受害者實體支付卡中的 NFC 數(shù)據(jù)通過被入侵的 Android 智能手機轉(zhuǎn)發(fā)到攻擊者的設(shè)備來實現(xiàn)的。然后，攻擊者會利用這些數(shù)據(jù)進行 ATM 交易。如果這種方法失敗，攻擊者還有一個后備計劃，即從受害者的賬戶向其他銀行賬戶轉(zhuǎn)移資金。

發(fā)現(xiàn)這種新型威脅和技術(shù)的 Luká? ?tefanko 說表示：我們還沒有在以前發(fā)現(xiàn)的任何安卓惡意軟件中看到過這種新穎的NFC中繼技術(shù)。該技術(shù)基于德國達姆施塔特技術(shù)大學(xué)學(xué)生設(shè)計的一種名為 NFCGate 的工具，用于捕獲、分析或更改 NFC 流量；因此，我們將這個新的惡意軟件系列命名為 NGate。

NGate 安卓惡意軟件活動

受害者可能誤以為自己正在與銀行通信，但實際上設(shè)備已遭入侵，并在不知情的情況下通過一條關(guān)于潛在退稅的欺騙性短信中的鏈接下載并安裝了一個應(yīng)用程序，導(dǎo)致自己的安卓設(shè)備受到了威脅。

值得注意的是，NGate 從未在 Google Play 官方商店上架過。

NGate安卓惡意軟件與一個自2023年11月起就在捷克活動的威脅行為者的網(wǎng)絡(luò)釣魚活動有關(guān)。不過，ESET 認(rèn)為，在 2024 年 3 月逮捕一名嫌疑人后，這些活動就被擱置了。ESET Research首次發(fā)現(xiàn)該威脅行為者從2023年11月底開始針對捷克著名銀行的客戶進行攻擊。惡意軟件是通過冒充合法銀行網(wǎng)站或 Google Play 商店中的官方手機銀行應(yīng)用程序的短暫域名進行傳播的。

攻擊者利用了漸進式網(wǎng)絡(luò)應(yīng)用程序（PWA）的潛力，后來又通過使用被稱為 WebAPK 的更復(fù)雜版本的 PWA 來完善其策略，這次行動以部署 NGate 惡意軟件而告終。

收集個人信息

2024 年 3 月，研究人員發(fā)現(xiàn) NGate Android 惡意軟件在以前用于促進提供惡意 PWA 和 WebAPK 的網(wǎng)絡(luò)釣魚活動的分發(fā)域上可用。安裝并打開后，NGate 會顯示一個虛假網(wǎng)站，要求用戶提供銀行信息，然后將其發(fā)送到攻擊者的服務(wù)器。

除了網(wǎng)絡(luò)釣魚功能外，NGate 惡意軟件還附帶一個名為 NFCGate 的工具，該工具被濫用于在兩個設(shè)備之間中繼 NFC 數(shù)據(jù)——受害者的設(shè)備和犯罪者的設(shè)備。其中一些功能僅適用于已獲得 root 權(quán)限的設(shè)備;但是，在這種情況下，也可以從非 root 設(shè)備中繼 NFC 流量。

NGate 還會提示受害者輸入敏感信息，例如他們的銀行客戶 ID、出生日期和銀行卡的 PIN 碼。它還要求他們在智能手機上打開 NFC 功能。然后指示受害者將他們的支付卡放在智能手機的背面，直到惡意應(yīng)用程序識別出該卡。

物理訪問支付卡

除了 NGate 惡意軟件使用的技術(shù)外，攻擊者還可以通過物理訪問支付卡來復(fù)制和仿真支付卡。攻擊者可以通過無人看管的錢包、背包或裝有支付卡的智能手機殼讀取支付卡，尤其是在公共場所和人群密集的地方。不過，這種情況一般僅限于在終端點進行小額非接觸式支付。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責(zé)人：張明