资安厂商ESET发现有恶意程式利用一款开源工具NFCGate,透过重导引NFC通讯流量,将受害者Android手机上的支付卡资讯传送给骇客。 (图左)NFCGate示意图,
资安厂商ESET发现一桩窃取钱财恶意程式新手法,可透过重导引NFC通讯流量,将受害者Android手机上的支付卡资讯传送给骇客。 ESET研究人员发现,3家捷克银行客户遭到这前所未见新手法的攻击。攻击者使用一个名为NGate的恶意程式,将受害者的实体支付卡资料(如金融卡),由安装NGate的Android智慧型手机利用NFC通讯,传送给攻击者控制的手机。攻击者取得卡片资料后即可执行ATM交易。若这方法失败,攻击者还有备援计划,可以从受害者帐户传到其他人的帐号。由于攻击手法使用了NFCGate的NFC流量分析开源工具,研究人员因而将恶意程式命名为NGate。 ESET团队首先在2023年11月底前观察到知名捷克银行客户遭到NGate的钓鱼攻击。骇客透过设立冒充银行帐号的网站或假冒官方行动银行App散布,传送退税的钓鱼简讯给知名银行用户,诱使用户下载号称能退税的App,实则为NGate。接著,骇客又冒充知名银行行员打电话给用户通知帐号被骇,要求用户前往其提供的连结重设银行密码。NGate趁机在用户重设帐密过程中,窃走受害者银行支付卡资讯。
图片来源/ESET NGate对Android用户的攻击在2024年3月因主谋被捕而终止。期间有三家捷克银行客户受害,研究人员共发现6只不同的NGate App变种,但受害人数不明。所幸NGate从未在Google Play Store市集上架,减少了可能的受害者规模 研究人员指出,NGate使用了创新Web技术PWA和WebAPK来冒充银行网站。PWA从钓鱼网站开启时会模倣合法应用程式,只是加了个小的浏览器图示。NGate开启时,即冒充银行网站要求用户输入登入帐密。WebAPK则是PWA的进阶版;它是由Chrome浏览器自动产生,但比PWA更像原生Android App,且没有浏览器图示,更容易瞒骗用户。 NGate除了冒充银行App外,还具有NFCGate的工具。后者来自德国达特茅斯理工大学学生,原始用途是搜集、分析和变更NFC流量的程式,它会将Android装置的NFC讯号,透过伺服器传送到另一台模拟Android装置的机器。在安装NGate程式的机器上,可以搜集、传送/重导引或在另一台机器上模倣、重播截取到的资料,其中重导引功能可以在未被root(刷机)的Android装置上执行。NGate程式滥用其中的重导引NFC流量功能,且诱使用户输入银行帐号、出生日期和支付卡密码,并要求他们启用手机NFC传输功能,还要受害者将支付卡放在Android手机背面直到NGate App完成「认证」。 而这些动作让攻击者取得了所有必要的资讯,而得以在其持有的Android手机上复制受害者支付(金融或信用)卡,并从ATM提出金钱或执行交易。 因此这次攻击让骇客有二种方法窃取受害者钱财。如果NFC资料传送未成功,攻击者可以用取得钓鱼网站的资讯存取受害者网银帐户,调高汇款上限或转帐到其他帐户。但一旦NFC资料传送成功,骇客即不需连回受害者帐户,也不会留下攻击迹证。 研究人员补充,NGate恶意程式还能让恶意人士从事其他攻击,特别是他能接近受害者装置时,像是复制NFC标签或支付卡,但是先决条件是目标装置只能在刷机过,或是客制Android装置。