近日，研究人員發現了一款名為 NGate 的惡意軟件，它可以通過惡意應用程序將受害者支付卡上的數據傳輸到攻擊者已root的安卓手機上。

未經授權的 ATM 提款

該活動針對銀行的主要目的是從受害者的銀行賬戶中為未經授權的 ATM 取款提供便利。具體來看，該活動主要是通過使用 NGate Android 惡意軟件，將受害者實體支付卡中的 NFC 數據通過被入侵的 Android 智能手機轉發到攻擊者的設備來實現的。然后，攻擊者會利用這些數據進行 ATM 交易。如果這種方法失敗，攻擊者還有一個后備計劃，即從受害者的賬戶向其他銀行賬戶轉移資金。

發現這種新型威脅和技術的 Luká? ?tefanko 說表示：我們還沒有在以前發現的任何安卓惡意軟件中看到過這種新穎的NFC中繼技術。該技術基于德國達姆施塔特技術大學學生設計的一種名為 NFCGate 的工具，用于捕獲、分析或更改 NFC 流量；因此，我們將這個新的惡意軟件系列命名為 NGate。

NGate 安卓惡意軟件活動

受害者可能誤以為自己正在與銀行通信，但實際上設備已遭入侵，并在不知情的情況下通過一條關于潛在退稅的欺騙性短信中的鏈接下載并安裝了一個應用程序，導致自己的安卓設備受到了威脅。

值得注意的是，NGate 從未在 Google Play 官方商店上架過。

NGate安卓惡意軟件與一個自2023年11月起就在捷克活動的威脅行為者的網絡釣魚活動有關。不過，ESET 認為，在 2024 年 3 月逮捕一名嫌疑人后，這些活動就被擱置了。ESET Research首次發現該威脅行為者從2023年11月底開始針對捷克著名銀行的客戶進行攻擊。惡意軟件是通過冒充合法銀行網站或 Google Play 商店中的官方手機銀行應用程序的短暫域名進行傳播的。

攻擊者利用了漸進式網絡應用程序（PWA）的潛力，后來又通過使用被稱為 WebAPK 的更復雜版本的 PWA 來完善其策略，這次行動以部署 NGate 惡意軟件而告終。

收集個人信息

2024 年 3 月，研究人員發現 NGate Android 惡意軟件在以前用于促進提供惡意 PWA 和 WebAPK 的網絡釣魚活動的分發域上可用。安裝并打開后，NGate 會顯示一個虛假網站，要求用戶提供銀行信息，然后將其發送到攻擊者的服務器。

除了網絡釣魚功能外，NGate 惡意軟件還附帶一個名為 NFCGate 的工具，該工具被濫用于在兩個設備之間中繼 NFC 數據——受害者的設備和犯罪者的設備。其中一些功能僅適用于已獲得 root 權限的設備;但是，在這種情況下，也可以從非 root 設備中繼 NFC 流量。

NGate 還會提示受害者輸入敏感信息，例如他們的銀行客戶 ID、出生日期和銀行卡的 PIN 碼。它還要求他們在智能手機上打開 NFC 功能。然后指示受害者將他們的支付卡放在智能手機的背面，直到惡意應用程序識別出該卡。

物理訪問支付卡

除了 NGate 惡意軟件使用的技術外，攻擊者還可以通過物理訪問支付卡來復制和仿真支付卡。攻擊者可以通過無人看管的錢包、背包或裝有支付卡的智能手機殼讀取支付卡，尤其是在公共場所和人群密集的地方。不過，這種情況一般僅限于在終端點進行小額非接觸式支付。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明