Masz Androida? Uważaj. Groźne oprogramowanie czyści konta bankowe

Nowe zagrożenie dla użytkowników Androida: złośliwe oprogramowanie NGate kradnie dane kart kredytowych, używając do tego modułu NFC. 

NGate wykorzystuje NFC (czyli  funkcję odpowiedzialną za wykonywanie płatności zbliżeniowych) do kradzieży danych kart kredytowych. To złośliwe oprogramowanie potrafi przesyłać dane odczytane przez chip NFC do urządzenia atakującego. Pozwala to na emulowanie kart ofiar i dokonywanie w ten sposób nieautoryzowanych płatności lub wypłat gotówki.

Oprogramowanie "działa" od listopada 2023 roku. Niedawny raport ESET informuje o wzroście użycia progresywnych aplikacji webowych (PWA - progressive web app) i zaawansowanych WebAPKs do kradzieży danych bankowych użytkowników. Obecnie użycie NGate zaobserwowano to głównie w Czechach.

Jak NGate kradnie dane kart za pomocą chipu NFC

Ataki rozpoczynają się od wiadomości tekstowych, automatycznych połączeń lub reklamy imitującej prawdziwy bank. Techniki te potrafią wprowadzić ofiary w błąd, skłaniając je do zainstalowania złośliwej aplikacji PWA lub WebAPK. Oprogramowanie wygląda na aktualizację zabezpieczeń aplikacji bankowej, ale w rzeczywistości kradnie dane dostępu klientów.

Po etapie phishingu (udawania pracowników banków) ofiary są oszukiwane, aby zainstalować NGate. Aplikacja wykorzystuje NFCGate, narzędzie open-source do testowania NFC, do przechwytywania danych NFC z kart płatniczych. Atakujący może zapisać te dane jako wirtualną kartę i odtwarzać ją na bankomatach (i wypłacać w ten sposób pieniądze) lub w terminalach płatniczych.

Jak złośliwe oprogramowanie zdobywa PIN do karty

Aby wypłacić gotówkę z bankomatu, potrzebny jest kod PIN - badacze odkryli, że oszuści zdobywają te informacje poprzez inżynierię społeczną. Po etapie phishingu, skutkującym zainstalowaniem przez ofiarę PWA/WebAPK na swoim telefonie, oszuści dzwonią, podszywając się pod pracowników banku. Informują wtedy o incydencie związanym z bezpieczeństwem konta i wysyłają SMS z linkiem do pobrania NGate. Ofiara skanuje swoją kartę i wprowadza PIN, aby „zweryfikować” go na interfejsie phishingowym złośliwego oprogramowania. Te wrażliwe informacje są następnie przesyłane do atakującego.

Czeska policja już ujęła jednego cyberprzestępcę dokonującego takich wypłat. Niemniej jednak ta taktyka wciąż stanowi poważne zagrożenie dla użytkowników Androida.

Aby zminimalizować ryzyko padnięcia ofiarą takich oszustw, można np. wyłączyć NFC w swoim urządzeniu. Jeśli jednak potrzebujesz aktywnego NFC, dokładnie sprawdzaj uprawnienia aplikacji, instaluj aplikacje bankowe tylko z oficjalnych źródeł i bądź ostrożny wobec linków do WebAPKs. WebAPKs są małe, instalowane z przeglądarek i nie pojawiają się w katalogu ‘/data/app’ telefonu jako standardowe aplikacje dla systemu Android. Nie można też ufać każdemu, kto do nas dzwoni podając się za pracownika banku - zwłaszcza gdy chce od nas wyciągnąć jakieś dane.