NGate モバイル マルウェア

サイバーセキュリティ研究者は、被害者の非接触型決済データを物理的なクレジットカードやデビットカードから攻撃者が管理するデバイスに中継し、不正な取引を可能にする新しい Android マルウェアを特定しました。

NGate として知られるこのマルウェアは、主にチェコ共和国の 3 つの銀行を標的にしています。NGate は、脅威となるアプリケーションがインストールされている被害者の Android デバイスから、攻撃者のルート化された Android スマートフォンに支払いカードのデータを転送することによって機能します。

この作戦は、2023年11月から活動している、侵害されたプログレッシブウェブアプリケーション（PWA）とWebAPKを通じてチェコの金融機関を標的とする、より広範なキャンペーンの一部です。NGateの最初のインスタンスは、2024年3月に検出されました。

脅威アクターが決済カードの詳細情報を収集しようとしている

これらの攻撃の主な目的は、NGate を使用して被害者の物理的な支払いカードから近距離無線通信 (NFC) データを複製することです。収集された情報は、攻撃者が制御するデバイスに送信され、元のカードをエミュレートして ATM から現金を引き出します。

NGate は、当初はセキュリティ研究の目的で 2015 年に開発された NFCGate と呼ばれる正規のツールから生まれました。

この攻撃戦略には、ソーシャルエンジニアリングと SMS フィッシングが組み合わされている可能性が高く、ユーザーは、Google Play ストアの正規の銀行ウェブサイトや公式モバイルバンキング アプリを模倣した短命のドメインにリダイレクトされ、NGate をインストールするように騙されます。

複数の脅威となるNGateアプリケーションが発見される

2023年11月から2024年3月の間に、6つの異なるNGateアプリケーションが特定されたが、ATM資金窃盗に関連してチェコ当局が22歳の男を逮捕したため、活動は停止された可能性が高い。

NGate は、NFCGate の機能を悪用して NFC トラフィックをキャプチャし、別のデバイスに中継するだけでなく、銀行のクライアント ID、生年月日、カードの PIN などの機密性の高い金融情報を入力するようユーザーに求めます。このフィッシング ページは WebView 内に表示されます。

さらに、このアプリケーションは、ユーザーにスマートフォンの NFC 機能を有効にし、悪意のあるアプリケーションによってカードが認識されるまで支払いカードをデバイスの背面に当てるように指示します。

攻撃者は被害者に電話をかけ、さらに搾取する

さらに、攻撃は巧妙な手法を採用しており、被害者は SMS メッセージで送信されたリンクを通じて PWA または WebAPK アプリをインストールした後、認証情報をフィッシングされ、その後、銀行員を装った脅威アクターから電話がかかってきて、アプリケーションをインストールした結果、銀行口座が侵害されたと通知されます。

その後、PIN を変更し、別のモバイル アプリケーション (NGate など) を使用して銀行カードを認証するように指示されます。このアプリケーションのインストール リンクも SMS 経由で送信されます。これらのアプリが Google Play ストアを通じて配布されたという証拠はありません。

NGate は、その操作を容易にするために 2 つの異なるサーバーを使用します。1 つ目は、被害者を誘惑して機密情報を提供させ、NFC リレー攻撃を開始できるように設計されたフィッシング Web サイトです。2 つ目は、被害者のデバイスから攻撃者のデバイスに NFC トラフィックをリダイレクトする役割を持つ NFCGate リレー サーバーです。