Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott, úgynevezett crimeware kampányt, amely három cseh bank ügyfeleit vette célba. Az NGate-nek elnevezett Android alapú szoftver újszerű módon képes az áldozatok bankkártya adatait a támadók telefonjára továbbítani. A támadók elsődleges célja az volt, hogy ATM-eken keresztül készpénzt vegyenek fel az áldozatok számláiról. Ezt úgy érték el, hogy a fizikai bankkártyák NFC-adatait a támadó készülékére továbbították az NGate segítségével. Amennyiben ez a módszer sikertelen volt, a tettesnek még arra is volt egy tartalék terve, hogy az áldozatok számláiról más bankszámlákra utaljon át pénzösszegeket – olvasható a cég közleményében.
A 2010-es évek második felében jelent meg új fizetési szabványként a rádiófrekvenciás azonosításból (RFID) kifejlesztett közelmezős kommunikáció (Near Field Communication, azaz NFC). Ezzel a bankkártyák még felhasználóbarátabbá váltak, hiszen vásárláskor elég egy NFC-kompatibilis fizetési eszköz közelébe tartani őket.
Az ESET szakértői még soha nem találkoztak korábban ilyen típusú NFC átviteli technikával. A módszer egy NFCGate nevű eszközön alapul, amelyet a németországi Darmstadti Műszaki Egyetem hallgatói fejlesztettek ki NFC forgalom rögzítésére, elemzésére és módosítására; ezért nevezték el az új malware-családot NGate-nek.
Az áldozatokat azzal vették rá a rosszindulatú program telepítésére, hogy elhitették velük, hogy a bankjukkal kommunikálnak arról, hogy az eszközüket állítólag feltörték. Valójában azonban maguk a felhasználók fertőzték meg az Android operációs rendszert futtató eszközeiket azzal, hogy előzőleg telepítettek egy alkalmazást a csalóktól érkezett linkről, amit egy adóvisszatérítésről szóló SMS-ben küldtek ki.
Az NGate Android kártevő egy 2023 novembere óta Csehországban aktív támadó adathalász tevékenységéhez kapcsolódik. A kiberbiztonsági szakértők ugyanakkor úgy vélik, ezeket a tevékenységeket egy 2024 márciusában történt letartóztatás után felfüggesztették. Az ESET kutatócsapata először 2023. november végén észlelte a fenyegetést, amely vezető cseh bankok ügyfeleit vette célba.
A rosszindulatú programokat rövid ideig működő domaineken keresztül terjesztették, amelyek hiteles banki weboldalakat vagy a Google Play áruházban elérhető hivatalos mobilbanki alkalmazásokat imitáltak. Ezeket a hamis domaineket az ESET Brand Intelligence Service azonosította, és jelezte az ügyfelei felé. Az elkövetők a progresszív webalkalmazások (PWA-k) lehetőségeit használták ki, majd később továbbfejlesztették stratégiájukat azzal, hogy a PWA-k egy kifinomultabb, WebAPK-ként ismert verzióját használták. A művelet végül az NGate malware alkalmazásával csúcsosodott ki.
2024 márciusában a kutatók felfedezték, hogy az NGate ugyanazokon oldalakon vált elérhetővé, amelyeket korábban adathalász kampányok során használtak rosszindulatú PWA-k és WebAPK-k terjesztésére. Telepítés után az NGate egy adathalász webhelyet jelenít meg, ami banki adatokat kér, és azokat a támadó szerverére küldi.
Az NGate arra is felszólítja az áldozatokat, hogy adják meg érzékeny adataikat, például a banki ügyfélazonosítójukat, a születési dátumukat és a bankkártyájuk PIN-kódját, továbbá arra kéri őket, hogy kapcsolják be az NFC funkciót okostelefonjukon. Ezt követően az áldozatoknak a bankkártyájukat az okostelefon hátuljához kell helyezniük, amíg a kártékony alkalmazás fel nem ismeri a kártyát.
Az NGate által használt technikán kívül a támadó, ha fizikai hozzáféréssel rendelkezik a bankkártyákhoz, potenciálisan lemásolhatja azokat. Ezt a technikát olyan elkövető alkalmazhatja, aki a kártyákat táskákon, pénztárcákon, hátizsákokon vagy bankkártyák tárolására alkalmas okostelefon-tokokon keresztül próbálja meg illetéktelenül leolvasni, például nyilvános és zsúfolt helyeken. Azonban ez a forgatókönyv általában csak kis összegű érintés nélküli fizetésekre korlátozódik a terminálokon.
Egészen meglepő és újszerű volt ez a módszer. Az ilyen összetett támadások elleni védekezéshez mindenkinek ismernie kell, hogyan léphet fel hatékonyan az adathalászat, a social engineering és az Android malware taktikák ellen.
„Ez magában foglalja, hogy naprakész védelmi megoldást futtassunk az okostelefonunkon, mindig ellenőrizzük a webhelyek URL címeit, csak a hivatalos áruházakból töltsünk le alkalmazásokat, soha ne adjuk ki a PIN-kódjainkat, kapcsoljuk ki az NFC funkciót, amikor nincs rá szükségünk, illetve védőtokokat vagy hitelesítéssel védett virtuális kártyákat használjunk” – tanácsolja Csizmazia-Darab István, az ESET termékeit forgalmazó Sicontact Kft. kiberbiztonsági szakértője.
