برنامج Android Malware الجديد NGate يسرق بيانات NFC لاستنساخ بطاقات الدفع غير التلامسية
اكتشف باحثو الأمن السيبراني برامج ضارة جديدة تعمل بنظام Android يمكنها نقل بيانات الدفع غير التلامسية للضحايا من بطاقات الائتمان والخصم الفعلية إلى جهاز يتحكم فيه المهاجم بهدف إجراء عمليات احتيالية.
تقوم شركة الأمن السيبراني السلوفاكية بتتبع البرامج الضارة الجديدة باسم NGate، قائلة إنها لاحظت حملة البرامج الإجرامية التي تستهدف ثلاثة بنوك في التشيك.
وقال الباحثون لوكاش ستيفانكو وجاكوب عثماني إن البرمجيات الخبيثة “تتمتع بقدرة فريدة على نقل البيانات من بطاقات الدفع الخاصة بالضحايا، عبر تطبيق ضار مثبت على أجهزتهم التي تعمل بنظام أندرويد، إلى هاتف أندرويد الذي تم الوصول إلى جذره الخاص بالمهاجم”. قال في التحليل.
يعد هذا النشاط جزءًا من حملة أوسع تم اكتشافها لاستهداف المؤسسات المالية في التشيك منذ نوفمبر 2023 باستخدام تطبيقات الويب التقدمية الضارة (PWAs) وWebAPKs. أول استخدام مسجل لـ NGate كان في مارس 2024.
الهدف النهائي من الهجمات هو استنساخ بيانات الاتصال قريب المدى (NFC) من بطاقات الدفع الفعلية للضحايا باستخدام NGate ونقل المعلومات إلى جهاز مهاجم الذي يحاكي بعد ذلك البطاقة الأصلية لسحب الأموال من ماكينة الصراف الآلي.
تعود جذور NGate إلى أداة مشروعة تسمى بوابة NFC، والذي تم تطويره في الأصل في عام 2015 لأغراض البحث الأمني من قبل طلاب مختبر شبكات الهاتف المحمول الآمنة في جامعة TU دارمشتات.
يُعتقد أن سلاسل الهجوم تتضمن مزيجًا من الهندسة الاجتماعية والتصيد الاحتيالي عبر الرسائل النصية القصيرة لخداع المستخدمين لتثبيت NGate عن طريق توجيه المستخدمين إلى نطاقات قصيرة العمر تنتحل صفة مواقع مصرفية مشروعة أو تطبيقات مصرفية رسمية عبر الهاتف المحمول متاحة على متجر Google Play.
تم تحديد ما يصل إلى ستة تطبيقات NGate مختلفة حتى الآن في الفترة ما بين نوفمبر 2023 ومارس 2024، عندما توقفت الأنشطة على الأرجح بعد اعتقال شاب يبلغ من العمر 22 عامًا من قبل السلطات التشيكية فيما يتعلق بسرقة أموال من أجهزة الصراف الآلي.
NGate، إلى جانب إساءة استخدام وظيفة NFCGate لالتقاط حركة مرور NFC وتمريرها إلى جهاز آخر، يطالب المستخدمين بإدخال معلومات مالية حساسة، بما في ذلك معرف العميل المصرفي وتاريخ الميلاد ورمز PIN لبطاقتهم المصرفية. يتم عرض صفحة التصيد الاحتيالي ضمن ملف عرض ويب.
وقال الباحثون: “إنها تطلب منهم أيضًا تشغيل ميزة NFC على هواتفهم الذكية”. “بعد ذلك، يُطلب من الضحايا وضع بطاقة الدفع الخاصة بهم في الجزء الخلفي من هواتفهم الذكية حتى يتعرف التطبيق الضار على البطاقة.”
تتبنى الهجمات أيضًا نهجًا خبيثًا يتمثل في أن الضحايا، بعد تثبيت تطبيق PWA أو WebAPK من خلال روابط مرسلة عبر رسائل نصية قصيرة، يتم تصيد بيانات الاعتماد الخاصة بهم ومن ثم يتلقون مكالمات من جهة التهديد، التي تتظاهر بأنها موظفة في البنك وتبلغهم بأن تعرض حسابهم البنكي للاختراق نتيجة تثبيت التطبيق.
ويتم توجيههم بعد ذلك لتغيير رقم التعريف الشخصي (PIN) الخاص بهم والتحقق من صحة بطاقتهم المصرفية باستخدام تطبيق جوال مختلف (على سبيل المثال، NGate)، ويتم إرسال رابط التثبيت إليه أيضًا عبر الرسائل القصيرة. ولا يوجد أي دليل على أنه تم توزيع هذه التطبيقات من خلال متجر Google Play.
وأوضح الباحثون أن “NGate يستخدم خادمين متميزين لتسهيل عملياته”. “الأول هو موقع ويب للتصيد الاحتيالي مصمم لجذب الضحايا إلى تقديم معلومات حساسة وقادر على بدء هجوم ترحيل NFC. والثاني هو خادم ترحيل NFCGate المكلف بإعادة توجيه حركة مرور NFC من جهاز الضحية إلى جهاز المهاجم.”
يأتي هذا الكشف في الوقت الذي قامت فيه Zscaler ThreatLabz بتفصيل نسخة جديدة من حصان طروادة المصرفي المعروف لنظام Android والذي يُسمى Copybara والذي يتم نشره عبر هجمات التصيد الصوتي (vishing) ويجذبهم إلى إدخال بيانات اعتماد حسابهم المصرفي.
“هذا الإصدار الجديد من Copybara نشط منذ نوفمبر 2023، ويستخدم بروتوكول MQTT لإنشاء اتصال مع خادم القيادة والتحكم (C2) الخاص به،” Ruchna Nigam قال.
“تستخدم البرامج الضارة ميزة خدمة الوصول الأصلية لأجهزة Android لممارسة تحكم دقيق على الجهاز المصاب. وفي الخلفية، تستمر البرامج الضارة أيضًا في تنزيل صفحات التصيد الاحتيالي التي تحاكي بورصات العملات المشفرة والمؤسسات المالية الشهيرة باستخدام شعاراتها وشعاراتها”. أسماء التطبيقات.”
إرسال التعليق