O nouă amenințare cibernetică pentru utilizatorii de Android: malware-ul NGate abuzează de o aplicație legitimă pentru a fura date bancare
Cercetătorii în securitate cibernetică au descoperit o nouă versiune a malware-ului NGate pentru Android, care folosește o aplicație de plată NFC legitimă, numită HandyPay, pentru a fura datele cardurilor bancare ale victimelor și codurile PIN. Astfel, atacatorii pot efectua plăți frauduloase și retrageri de numerar fără contact. Această nouă strategie marchează o evoluție a metodei de operare a malware-ului, demonstrând adaptabilitatea infractorilor cibernetici la evoluția tehnologiei și a măsurilor de securitate.
Funcționarea malware-ului și metode de distribuție
Malware-ul NGate, identificat inițial în 2024, viza furtul datelor cardurilor bancare prin intermediul tehnologiei NFC (Near Field Communication) a telefoanelor mobile. Acesta intercepta informațiile transmise prin NFC pentru a crea ulterior carduri virtuale utilizate pentru plăți neautorizate sau retrageri de la bancomate. Versiunile anterioare utilizau un instrument open-source numit NFCGate.
Noua variantă de malware, însă, a înlocuit NFCGate cu o versiune troianizată a aplicației HandyPay, o aplicație Android legală. Aplicația modificată este distribuită prin diverse metode de inginerie socială, inclusiv site-uri web false de loterie și pagini false pe Google Play. Aceste pagini frauduloase induc victimele să instaleze aplicații modificate, care conțin malware. Odată instalată, aplicația troianizată solicită victimele să introducă codul PIN al cardului și să apropie cardul de telefon. Datele NFC sunt interceptate și trimise către un telefon controlat de atacatori, în timp ce codul PIN este trimis către un server de comandă și control (C&C).
Ingineria socială și utilizarea inteligenței artificiale
Atacurile NGate se bazează în mare măsură pe inginerie socială, prin înșelarea utilizatorilor pentru a instala aplicații de pe surse necunoscute, și mai puțin pe exploatarea vulnerabilităților sistemului de operare. Interesant, cercetătorii au detectat semne că o parte din codul rău intenționat a fost generat sau asistat de inteligența artificială, inclusiv utilizarea emoji-urilor, un artefact asociat codului generat de IA.
Malware-ul se folosește de permisiuni minime și se bazează pe capacitatea victimei de a seta aplicația falsă ca serviciu de plată implicit. Funcționalitatea de retransmitere NFC, inițial concepută pentru utilizări legitime, permite atacatorilor să simuleze cardul victimei pe propriul dispozitiv și să retragă numerar. Infrastructura campaniei este centralizată, cu același server utilizat atât pentru distribuirea malware-ului, cât și pentru colectarea codurilor PIN furate. Analiza malware-ului a dezvăluit jurnale de pe dispozitive compromise din Brazilia, indicând o exploatare în lumea reală.
Măsuri de protecție și implicații
Trecerea de la utilizarea instrumentelor de retransmitere NFC disponibile pe piață sau a platformelor de tip „malware-as-a-service” la modificarea unei aplicații legitime pare să fie determinată de considerente financiare, având în vedere costurile mai mici ale acestei abordări. Pentru a reduce riscul de infectare, utilizatorii sunt sfătuiți să evite instalarea aplicațiilor din surse neoficiale, să nu introducă codurile PIN în aplicații mobile suspecte și să dezactiveze NFC atunci când nu este utilizat. Activarea Google Play Protect poate ajuta la detectarea și blocarea amenințărilor cunoscute, cum este NGate.
Descoperirile privind noua variantă de NGate subliniază importanța precauției în utilizarea dispozitivelor mobile și a plății fără contact.
