Phần mềm độc hại Android mới NGate đánh cắp dữ liệu NFC để sao chép thẻ thanh toán không tiếp xúc

Phần mềm độc hại Android mới NGate đánh cắp dữ liệu NFC để sao chép thẻ thanh toán không tiếp xúc

Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ liệu thanh toán không tiếp xúc của nạn nhân từ thẻ tín dụng và thẻ ghi nợ vật lý đến thiết bị do kẻ tấn công kiểm soát với mục đích thực hiện các hoạt động gian lận.

Phần mềm độc hại Android mới NGate đánh cắp dữ liệu NFC để sao chép thẻ thanh toán không tiếp xúc

Chuyên gia bảo mật đang theo dõi phần mềm độc hại mới này dưới tên NGate, tuyên bố rằng họ đã quan sát thấy chiến dịch phần mềm độc hại nhắm vào ba ngân hàng ở Cộng hòa Séc.

Phần mềm độc hại "có khả năng độc đáo là chuyển tiếp dữ liệu từ thẻ thanh toán của nạn nhân, thông qua một ứng dụng độc hại được cài đặt trên thiết bị Android của họ, đến điện thoại Android đã root của kẻ tấn công", các nhà nghiên cứu Lukáš Štefanko và Jakub Osmani cho biết trong một phân tích.

Hoạt động này là một phần của chiến dịch rộng hơn đã được phát hiện nhắm vào các tổ chức tài chính ở Cộng hòa Séc kể từ tháng 11 năm 2023 bằng cách sử dụng các ứng dụng web tiến bộ (PWA) và WebAPK độc hại. Lần đầu tiên sử dụng NGate được ghi nhận là vào tháng 3 năm 2024.

Mục tiêu cuối cùng của các cuộc tấn công là sao chép dữ liệu giao tiếp trường gần (NFC) từ thẻ thanh toán vật lý của nạn nhân bằng NGate và truyền thông tin đến thiết bị của kẻ tấn công, sau đó mô phỏng thẻ gốc để rút tiền từ máy ATM.

NGate bắt nguồn từ một công cụ hợp pháp có tên là NFCGate, ban đầu được phát triển vào năm 2015 cho mục đích nghiên cứu bảo mật bởi các sinh viên của Phòng thí nghiệm mạng di động an toàn tại TU Darmstadt.

Sao chép thẻ thanh toán không tiếp xúc

Các chuỗi tấn công được cho là kết hợp giữa kỹ thuật xã hội và lừa đảo qua tin nhắn SMS để lừa người dùng cài đặt NGate bằng cách hướng người dùng đến các tên miền tồn tại trong thời gian ngắn mạo danh các trang web ngân hàng hợp pháp hoặc các ứng dụng ngân hàng di động chính thức có sẵn trên cửa hàng Google Play.

Có tới sáu ứng dụng NGate khác nhau đã được xác định cho đến nay trong khoảng thời gian từ tháng 11 năm 2023 đến tháng 3 năm 2024, khi các hoạt động này có thể đã dừng lại sau khi chính quyền Séc bắt giữ một thanh niên 22 tuổi vì liên quan đến hành vi đánh cắp tiền từ các máy ATM.

NGate, ngoài việc lợi dụng chức năng của NFCGate để thu thập lưu lượng NFC và chuyển đến thiết bị khác, còn nhắc nhở người dùng nhập thông tin tài chính nhạy cảm, bao gồm ID khách hàng ngân hàng, ngày sinh và mã PIN cho thẻ ngân hàng của họ. Trang lừa đảo được hiển thị trong WebView.

"Nó cũng yêu cầu họ bật tính năng NFC trên điện thoại thông minh của họ", các nhà nghiên cứu cho biết. "Sau đó, nạn nhân được hướng dẫn đặt thẻ thanh toán của họ ở mặt sau của điện thoại thông minh cho đến khi ứng dụng độc hại nhận dạng được thẻ".

Phần mềm độc hại Android NGate

Các cuộc tấn công tiếp tục sử dụng cách tiếp cận xảo quyệt ở chỗ nạn nhân, sau khi cài đặt ứng dụng PWA hoặc WebAPK thông qua các liên kết được gửi qua tin nhắn SMS, thông tin đăng nhập của họ bị đánh cắp và sau đó nhận được cuộc gọi từ tác nhân đe dọa, kẻ này giả danh là nhân viên ngân hàng và thông báo cho họ rằng tài khoản ngân hàng của họ đã bị xâm phạm do cài đặt ứng dụng.

Sau đó, họ được hướng dẫn thay đổi mã PIN và xác thực thẻ ngân hàng của mình bằng một ứng dụng di động khác (tức là NGate), liên kết cài đặt cũng được gửi qua SMS. Không có bằng chứng nào cho thấy những ứng dụng này được phân phối thông qua Cửa hàng Google Play.

Trong một tuyên bố được chia sẻ với The Hacker News, Google xác nhận rằng họ không tìm thấy bất kỳ ứng dụng nào chứa phần mềm độc hại trên thị trường Android chính thức. Công ty cũng cho biết người dùng được tự động bảo vệ khỏi các phiên bản NGate đã biết bằng Google Play Protect, được bật theo mặc định trên các thiết bị Android có Dịch vụ Google Play, ngay cả khi các ứng dụng được tải xuống từ các nguồn của bên thứ ba.

"NGate sử dụng hai máy chủ riêng biệt để tạo điều kiện cho các hoạt động của mình", các nhà nghiên cứu giải thích. "Đầu tiên là một trang web lừa đảo được thiết kế để dụ nạn nhân cung cấp thông tin nhạy cảm và có khả năng khởi tạo một cuộc tấn công chuyển tiếp NFC. Thứ hai là một máy chủ chuyển tiếp NFCGate có nhiệm vụ chuyển hướng lưu lượng NFC từ thiết bị của nạn nhân đến thiết bị của kẻ tấn công".

Việc tiết lộ này được đưa ra khi Zscaler ThreatLabz nêu chi tiết về một biến thể mới của một trojan ngân hàng Android đã biết có tên là Copybara được phát tán thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing) và dụ họ nhập thông tin đăng nhập tài khoản ngân hàng của mình.

"Biến thể mới này của Copybara đã hoạt động từ tháng 11 năm 2023 và sử dụng giao thức MQTT để thiết lập liên lạc với máy chủ chỉ huy và kiểm soát (C2) của nó", Ruchna Nigam cho biết.

"Phần mềm độc hại này lạm dụng tính năng dịch vụ trợ năng vốn có trên các thiết bị Android để kiểm soát chi tiết thiết bị bị nhiễm. Trong nền, phần mềm độc hại cũng tiến hành tải xuống các trang lừa đảo bắt chước các sàn giao dịch tiền điện tử và tổ chức tài chính phổ biến bằng cách sử dụng logo và tên ứng dụng của họ".

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Thông báo thời gian kì nghỉ công ty năm 2024

NTS xin thông báo đến Quý khách hàng thời gian kì nghỉ của công ty năm 2024 từ Thứ Bảy 30/11/2024 đến thứ Hai 02/12/2024. Chúng tôi làm việc trở lại...

Chi tiết
Standard Post with Image

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào người dùng trên năm quốc gia với 2.000 trang web giả mạo

Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiến dịch nhắm vào Úc, Nhật Bản, Tây Ban Nha, Vương...

Chi tiết
Standard Post with Image

Tính năng Email được bảo vệ mới của Gmail cho phép người dùng tạo bí danh để bảo mật email

Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh email khi đăng ký dịch vụ trực tuyến và chống thư rác...

Chi tiết