Az NGate nevet kapta az az új androidos kártevő, ami az NFC-chipet használja arra, hogy kártyaadatokat lopjon. A támadás kapcsolható a progresszív webalkalmazásokat (PWA) érintő, 2023 novembere óta aktív kiberbűnözői kampányhoz, melynek magyar érintettsége is van.

Az NGate a NFC-chipből nyert adatok mentén képes utánozni az áldozatok bankkártyáját, így jogosulatlanul fizetni is tudnak vele – írja a Bleeping Computer.

A támadás első lépése egy csalárd hívás (valamilyen előre felvett beszéddel), üzenet vagy Facebook-hirdetés, melyekkel egy adathalászatra használt PWA webalkalmazás telepítésére próbálják rávenni az áldozatot (ennek működéséről, lényegéről a korábbi cikkünkben írtunk bővebben).

Jellemzően azt állítják a rosszindulatú felek a bank nevét és arculati elemeit felhasználva, hogy a banki alkalmazásuk elavult, a biztonságuk érdekében pedig újat kell telepíteni. Így juthat az eszközre az app, ami számos dologhoz hozzáfér, miközben a felhasználó mit sem észlel ebből – a PWA-k ugyanis engedélyeket sem kérnek, mert a böngészőre támaszkodnak, ami már hozzáfér egy sor dologhoz.

A második fázisban már egy normál alkalmazás telepítésére próbálják rávenni a felhasználót, ami megnyitja a támadás második, legfontosabb részét: a kártevő ugyanis aktivál egy olyan nyílt forráskódú kiegészítőt, amit egyetemi kutatók fejlesztettek ki az NFC-chip tesztelésére, valamint kísérletezéshez.

Ezután az NGate-tel fertőzött mobil valamennyi, a környezetében lévő bankkártya tokenjeit meg tudja szerezni, majd a telefon továbbítja ezeket a támadónak, közvetlenül vagy egy szerveren keresztül. Ezekkel a tokenekkel utána utánozhatók a kártyák, így lehet velük fizetni online vagy boltban, illetve készpénzt felvenni érintős azonosításra képes ATM-ből.

Nagyon fontos: az ilyen támadás során a bankkártya adatai nincsenek veszélyben, azokat senki nem ismeri meg. A bankkártya adatait az okostelefonok semmilyen módon nem tárolják, a fizetés-azonosítás teljesen máshogy működik. Ezzel kapcsolatban érdemes elolvasni korábbi cikkünket.

Az ESET egyik biztonsági kutatója be is mutatta, hogyan néz ki a szóban forgó csalás folyamata a gyakorlatban.

Az ATM-es készpénzfelvételhez ugyanakkor még így is szüksége van a támadónak egy PIN-kódra, de a csalók erre is gondolnak: ha már települt az áldozat mobiljára az adathalász app, egyes esetekben például felhívják őt a bank nevében, mondván érintett egy biztonsági incidensben. Ezután kapnak egy SMS-t, ami egy – valójában – kártevő telepítésére kéri a gyanútlan áldozatot.

Az installált appnak azonban a látszat ellenére semmi köze nincs az adott pénzintézethez, és ha valaki ebben megadja „ellenőrzés” címén a kártyaadatait, a PIN-kódot is ideértve, voltaképpen tálcán kínálja a lehetőséget a támadónak arra, hogy szabadon emeljen le pénzt a kártyájáról.

A jelek szerint a cseh rendőrség már elkapta a kampány egyik elkövetőjét, de mivel több országban is zajlik párhuzamosan ilyen támadás – Magyarországon is, az OTP Bank nevében –, bizonyára többen is állnak a dolog mögött.

Fontos, hogy banki alkalmazásokat csakis a Play Áruházból szerezzen be, és arra is ügyeljen, hogy a mobilján milyen appoknak ad engedélyt az NFC-hozzáféréshez. Ha nem használja aktívan a chipet, kapcsolja ki az beállításokban (Beállítások – Csatlakoztatott eszközök – Kapcsolati beállítások – NFC).

A Bleeping Computer megkereste az ügyben a Google-t, ahonnan azt a választ kapták, hogy a Play Protect már képes észlelni az NGate kártevőt, ami jó eséllyel gátat szabhat majd a további terjedésének.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.