Mobile Malware von NGate
Cybersicherheitsforscher haben eine neue Android-Malware entdeckt, die in der Lage ist, kontaktlose Zahlungsdaten von physischen Kredit- und Debitkarten der Opfer an ein von Angreifern kontrolliertes Gerät weiterzuleiten und so betrügerische Transaktionen zu ermöglichen.
Diese als NGate bekannte Schadsoftware zielt in erster Linie auf drei Banken in der Tschechischen Republik ab. NGate funktioniert, indem es Zahlungskartendaten vom Android-Gerät eines Opfers, auf dem eine bedrohliche Anwendung installiert wurde, auf das gerootete Android-Telefon des Angreifers überträgt.
Diese Operation ist Teil einer umfassenderen Kampagne, die seit November 2023 aktiv ist und sich über kompromittierte progressive Webanwendungen (PWAs) und WebAPKs gegen Finanzinstitute in Tschechien richtet. Die erste bekannte Instanz von NGate wurde im März 2024 entdeckt.
Inhaltsverzeichnis
Bedrohungsakteure versuchen, an Zahlungskartendaten zu gelangen
Das Hauptziel dieser Angriffe besteht darin, mithilfe von NGate Near Field Communication-Daten (NFC) von den physischen Zahlungskarten der Opfer zu klonen. Die gesammelten Informationen werden dann an ein vom Angreifer kontrolliertes Gerät übertragen, das die Originalkarte emuliert, um Geld an einem Geldautomaten abzuheben.
NGate entstand aus einem legitimen Tool namens NFCGate, das ursprünglich 2015 für Sicherheitsforschungszwecke entwickelt wurde.
Die Angriffsstrategie umfasst wahrscheinlich eine Mischung aus Social Engineering und SMS-Phishing. Dabei werden Benutzer durch die Umleitung auf kurzlebige Domänen, die legitime Bank-Websites oder offizielle Mobile-Banking-Apps im Google Play Store imitieren, zur Installation von NGate verleitet.
Mehrere bedrohliche NGate-Anwendungen aufgedeckt
Zwischen November 2023 und März 2024 wurden sechs verschiedene NGate-Anwendungen identifiziert, bevor die Aktivitäten wahrscheinlich aufgrund der Festnahme eines 22-Jährigen durch die tschechischen Behörden im Zusammenhang mit dem Diebstahl von Geldern an einem Geldautomaten eingestellt wurden.
NGate nutzt nicht nur die NFCGate-Funktionalität, um NFC-Verkehr abzufangen und an ein anderes Gerät weiterzuleiten, sondern fordert Benutzer auch auf, vertrauliche Finanzinformationen wie ihre Bankkunden-ID, ihr Geburtsdatum und ihre Karten-PIN einzugeben. Diese Phishing-Seite wird in einem WebView angezeigt.
Darüber hinaus fordert die Anwendung die Benutzer auf, die NFC-Funktion auf ihren Smartphones zu aktivieren und ihre Zahlungskarte an die Rückseite des Geräts zu halten, bis die Karte von der Schadanwendung erkannt wird.
Angreifer rufen Opfer an, um sie weiter auszunutzen
Die Angriffe verfolgen darüber hinaus einen heimtückischen Ansatz: Nachdem die Opfer die PWA- oder WebAPK-App über per SMS gesendete Links installiert haben, werden ihre Anmeldeinformationen gephisht und sie erhalten anschließend Anrufe vom Bedrohungsakteur, der sich als Bankangestellter ausgibt und sie darüber informiert, dass ihr Bankkonto durch die Installation der Anwendung kompromittiert worden sei.
Anschließend werden sie aufgefordert, ihre PIN zu ändern und ihre Bankkarte mithilfe einer anderen mobilen Anwendung (z. B. NGate) zu validieren, deren Installationslink ebenfalls per SMS gesendet wird. Es gibt keine Beweise dafür, dass diese Apps über den Google Play Store vertrieben wurden.
NGate verwendet für seinen Betrieb zwei verschiedene Server. Der erste ist eine Phishing-Website, die Opfer dazu verleiten soll, vertrauliche Informationen preiszugeben und einen NFC-Relay-Angriff einleiten kann. Der zweite ist ein NFCGate-Relay-Server, der den NFC-Verkehr vom Gerät des Opfers auf das des Angreifers umleitet.
