Mã độc Android NGate đánh cắp dữ liệu NFC sao chép thẻ thanh toán không tiếp xúc

Tác giả ChatGPT, T.Tám 26, 2024, 07:32:16 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ liệu thanh toán không tiếp xúc của nạn nhân từ thẻ tín dụng và thẻ ghi nợ vật lý sang thiết bị do kẻ tấn công kiểm soát nhằm mục đích thực hiện các hoạt động gian lận.

Công ty an ninh mạng Slovakia đang theo dõi phần mềm độc hại mới có tên NGate, cho biết họ đã quan sát thấy chiến dịch phần mềm tội phạm nhắm vào ba ngân hàng ở Séc.


Các nhà nghiên cứu Lukáš Štefanko và Jakub Osmani cho biết trong một phân tích: Phần mềm độc hại "có khả năng duy nhất để chuyển tiếp dữ liệu từ thẻ thanh toán của nạn nhân, thông qua một ứng dụng độc hại được cài đặt trên thiết bị Android của họ, tới điện thoại Android đã root của kẻ tấn công".

Hoạt động này là một phần của một chiến dịch rộng lớn hơn được phát hiện nhằm mục tiêu vào các tổ chức tài chính ở Séc kể từ tháng 11 năm 2023 bằng cách sử dụng các ứng dụng web lũy tiến độc hại (PWA) và WebAPK. Việc sử dụng NGate được ghi nhận đầu tiên là vào tháng 3 năm 2024.

Mục tiêu cuối cùng của các cuộc tấn công là sao chép dữ liệu giao tiếp trường gần (NFC) từ thẻ thanh toán vật lý của nạn nhân bằng NGate và truyền thông tin đến thiết bị của kẻ tấn công, sau đó mô phỏng thẻ gốc để rút tiền từ máy ATM.

NGate có nguồn gốc từ một công cụ hợp pháp có tên NFCGate, được phát triển lần đầu vào năm 2015 cho mục đích nghiên cứu bảo mật bởi các sinh viên Phòng thí nghiệm mạng di động an toàn tại TU Darmstadt.


Chuỗi tấn công được cho là có sự kết hợp giữa kỹ thuật xã hội và lừa đảo qua SMS để lừa người dùng cài đặt NGate bằng cách hướng người dùng đến các miền tồn tại trong thời gian ngắn mạo danh các trang web ngân hàng hợp pháp hoặc ứng dụng ngân hàng di động chính thức có sẵn trên cửa hàng Google Play.

Cho đến nay, có tới sáu ứng dụng NGate khác nhau đã được xác định trong khoảng thời gian từ tháng 11 năm 2023 đến tháng 3 năm 2024, khi các hoạt động có thể bị dừng lại sau khi chính quyền Séc bắt giữ một thanh niên 22 tuổi liên quan đến việc ăn cắp tiền từ máy ATM.

NGate, ngoài việc lạm dụng chức năng của NFCGate để nắm bắt lưu lượng NFC và chuyển nó sang thiết bị khác, còn nhắc người dùng nhập thông tin tài chính nhạy cảm, bao gồm ID khách hàng ngân hàng, ngày sinh và mã PIN cho thẻ ngân hàng của họ. Trang lừa đảo được hiển thị trong WebView.

Các nhà nghiên cứu cho biết: "Nó cũng yêu cầu họ bật tính năng NFC trên điện thoại thông minh của họ". "Sau đó, nạn nhân được hướng dẫn đặt thẻ thanh toán của họ ở mặt sau điện thoại thông minh cho đến khi ứng dụng độc hại nhận ra thẻ."


Các cuộc tấn công tiếp tục áp dụng một cách tiếp cận xảo quyệt ở chỗ nạn nhân, sau khi cài đặt ứng dụng PWA hoặc WebAPK thông qua các liên kết được gửi qua tin nhắn SMS, thông tin xác thực của họ bị lừa đảo và sau đó nhận được cuộc gọi từ kẻ đe dọa, kẻ này giả vờ là nhân viên ngân hàng và thông báo cho họ rằng tài khoản ngân hàng của họ đã bị xâm phạm do cài đặt ứng dụng.

Sau đó, họ được hướng dẫn thay đổi mã PIN và xác thực thẻ ngân hàng của mình bằng một ứng dụng di động khác (ví dụ: NGate), một liên kết cài đặt cũng được gửi qua SMS. Không có bằng chứng nào cho thấy những ứng dụng này được phân phối thông qua Cửa hàng Google Play.

Các nhà nghiên cứu giải thích: "NGate sử dụng hai máy chủ riêng biệt để tạo điều kiện thuận lợi cho hoạt động của nó. "Đầu tiên là một trang web lừa đảo được thiết kế để dụ nạn nhân cung cấp thông tin nhạy cảm và có khả năng bắt đầu một cuộc tấn công chuyển tiếp NFC. Thứ hai là máy chủ chuyển tiếp NFCGate có nhiệm vụ chuyển hướng lưu lượng NFC từ thiết bị của nạn nhân sang thiết bị của kẻ tấn công."

Tiết lộ này được đưa ra khi Zscaler ThreatLabz trình bày chi tiết về một biến thể mới của trojan ngân hàng Android nổi tiếng có tên Copybara, được lan truyền thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing) và dụ họ nhập thông tin đăng nhập tài khoản ngân hàng của họ.

Ruchna Nigam cho biết : "Biến thể mới này của Copybara đã hoạt động từ tháng 11 năm 2023 và sử dụng giao thức MQTT để thiết lập liên lạc với máy chủ ra lệnh và kiểm soát (C2) của nó".

"Phần mềm độc hại lạm dụng tính năng dịch vụ trợ năng có sẵn của thiết bị Android để thực hiện quyền kiểm soát chi tiết đối với thiết bị bị nhiễm. Trong nền, phần mềm độc hại cũng tiến hành tải xuống các trang lừa đảo bắt chước các sàn giao dịch tiền điện tử phổ biến và các tổ chức tài chính bằng cách sử dụng logo và thông tin của họ. tên ứng dụng."