O nouă amenințare cibernetică pentru utilizatorii de Android: malware-ul NGate abuzează de aplicații legitime
O nouă variantă a malware-ului NGate, care vizează dispozitivele Android, a fost descoperită de cercetătorii în securitate cibernetică. Această nouă versiune folosește o aplicație legitimă de plată NFC, numită HandyPay, pentru a fura datele cardurilor bancare și codurile PIN ale victimelor. Atacatorii pot apoi efectua plăți frauduloase și retrageri de numerar.
Cum funcționează atacul
Malware-ul NGate, identificat inițial în 2024, viza furtul de informații despre cardurile de credit prin intermediul tehnologiei NFC (Near Field Communication) a telefoanelor mobile. Datele furate erau folosite pentru a crea carduri virtuale, utilizate ulterior pentru achiziții neautorizate sau retrageri de numerar. Versiunile anterioare ale acestui malware foloseau o aplicație open-source numită NFCGate pentru a intercepta și transmite datele cardurilor.
Noua variantă a malware-ului a înlocuit NFCGate cu o versiune troianizată a HandyPay. HandyPay este o aplicație reală, disponibilă pe Google Play din 2021, concepută pentru a facilita transferul de date NFC între dispozitive. Infractorii cibernetici au modificat aplicația, inserând cod rău intenționat pentru furtul de date sensibile.
Victimele sunt induse în eroare prin metode de inginerie socială, cum ar fi site-uri web false sau pagini contrafăcute pe Google Play, care promovează aplicații false. Aceste aplicații, odată instalate, solicită utilizatorilor să introducă codul PIN al cardului și să apropie cardul de telefon. Malware-ul oi datele NFC către un telefon controlat de atacator și trimite separat codul PIN către un server de comandă și control (C&C).
Tehnici de distribuție și riscuri
Campania de distribuție a malware-ului folosește diverse metode de înșelăciune, incluzând site-uri web false care imită loterii și pagini contrafăcute pe Google Play. Aceste tehnici au scopul de a convinge utilizatorii să descarce și să instaleze aplicații modificate.
Odată instalat, malware-ul necesită permisiuni minime și se bazează pe inginerie socială pentru a funcționa. Utilizatorii sunt convinși să activeze instalarea aplicațiilor din surse necunoscute și să seteze aplicația ca serviciu de plată implicit. Funcționalitatea de retransmitere NFC, deși destinată inițial utilizării legitime, permite atacatorilor să emuleze cardul victimei și să efectueze retrageri de numerar.
Măsuri de protecție și implicații
Pentru a se proteja, utilizatorii ar trebui să evite instalarea aplicațiilor din surse neoficiale sau din linkuri primite prin mesaje SMS sau aplicații de mesagerie. Este crucial să nu introduceți niciodată codurile PIN ale cardurilor în aplicații mobile, decât dacă sunteți absolut siguri de legitimitatea acestora. De asemenea, dezactivarea NFC atunci când nu este utilizat și activarea Google Play Protect sunt măsuri importante de securitate.
Analiza malware-ului a relevat existența unor jurnale de pe dispozitive compromise din Brazilia, cu coduri PIN furate, adrese IP și detalii despre momentul atacurilor. Aceasta sugerează o exploatare activă și impactul direct asupra utilizatorilor.
