ESET oznámil, že objevil a popsal malware NGate, jenž byl součástí útoků na klienty českých bank, a to v kombinaci s technikami sociálního inženýrství a phishingem. Podle ESETu byla za útoky skupina, která na českém území působila od listopadu 2023 a malware pak zapojila do svých kampaní letos v březnu. Aktuálně by útoky po zatčení jednoho z pachatelů měly být pozastaveny, ovšem i tak se vyplatí mít se na pozoru. Malware NGate přitom používali ve spolupráci s technologií NFC, díky čemuž mohli klonovat data přímo z fyzických platebních karet obětí a přenést je na zařízení útočníka, jenž pak mohl v klidu k bankomatu a vybírat z nich peníze. Kampaň konkrétně cílila na klienty tří nejmenovaných českých bank.
„Tento nový postup útoku s využitím technologie NFC jsme dosud neviděli v případě žádného dříve objeveného malwaru pro platformu Android. Je založen na nástroji NFCGate, který navrhli studenti na Technické univerzitě v Darmstadtu v Německu, aby dokázali zachytit, analyzovat nebo měnit přenos dat prostřednictvím technologie NFC. Proto jsme tuto novou rodinu malwaru pojmenovali NGate,“ říká Martin Jirkal, vedoucí analytického týmu v pražské výzkumné pobočce společnosti ESET.
Postup, jak se malware dostal do telefonů obětí, je klasický – útočníci lstí přiměli oběti myslet si, že komunikují se svou bankou, záminkou pro komunikaci mělo být paradoxně právě smyšlené napadení jejich zařízení. Stejně jako při nedávném napadení internetového bankovnictvích Čechů, i tentokrát hackeři využili také progresivní webové aplikace (PWAs). „Kromě těchto phishingových funkcí obsahuje malware NGate také nástroj NFCGate. Útočníci jej v tomto případě zneužili k přenosu dat mezi dvěma zařízeními – zařízením oběti a zařízením pachatele. Některé z funkcí malwaru přitom fungují pouze na tzv. rootnutých zařízeních. V tomto případě bylo však možné přenést data i z takto neupravených, standardních zařízení,“ vysvětluje Jirkal.
New Android malware - #NGate - relays NFC data from victims’ payment cards, via victims’ compromised mobile phones, to attacker's device waiting at an ATM to withdraw cashhttps://t.co/aM4v0lC6we pic.twitter.com/3MPRPe7qUB
— Lukas Stefanko (@LukasStefanko) August 22, 2024
Malware NGate žádal po obětích vyplnění citlivých informací (například bankovní identita, datum narození a PIN kód k jejich platebním kartám), následně vyzval napadané k tomu, aby v mobilu aktivovali NFC a přiložili platební kartu na jeho zadní stranu, dokud škodlivá aplikace kartu nerozpoznala. Celý proces ilustruje ve videu výše Lukas Stefanko z ESETu.
„Pro zajištění ochrany před tak složitými útoky je třeba zakročit zároveň proti phishingu, dalším technikám sociálního inženýrství a samotným škodlivým kódům pro platformu Android. Znamená to provádět kontroly URL adres webových stránek, stahovat aplikace pouze z oficiálních obchodů a bezpečně uchovávat PIN kódy – poslední dvě zmíněná opatření přitom mají ve svých rukách částečně samotní uživatelé. Dále je na místě samozřejmě i používání bezpečnostního řešení pro chytré telefony, vypínat funkci NFC, když ji zrovna nevyužíváme a používat případně také ochranná pouzdra na telefony nebo virtuální karty vyžadující naše ověření,“ radí na závěr Jirkal z ESETu.
