NGate恶意软件利用 NFC 窃取信用卡密钥和资金

安全公司ESET发现一种新型钓鱼攻击手段，黑客通过 NGate 恶意软件利用手机NFC读卡功能盗取信用卡密钥和资金。

发现这种威胁的研究人员Lukáš Štefanko表示，这是一种此前从未被发现的任何安卓恶意软件使用过的NFC中继技术。

该技术基于德国达姆施塔特技术大学学生设计的一种名为NFCGate的工具，因此将这个新恶意软件系列命名为NGate。

资料显示，NGate 恶意软件实际上是一款 PWA 应用，但被伪装成了正规银行客户端应用，普通受害者根本无法鉴别。

受害者会在毫不知情的情况下通过一个疑似退税的钓鱼短信链接安装这款恶意软件，误认为自己安装了正规银行应用。

虚假应用被安装并打开后，NGate 会显示一个虚假网站要求不明所以的受害者提供银行卡信息，发送到攻击者服务器。

比如要求受害者输入银行客户ID、出生日期和银行卡的PIN码等敏感信息，并要求受害者打开智能手机上的NFC功能。

然后提示受害者将他们的支付卡放在智能手机的背面，直到恶意应用程序读取该卡，从而获取到银行卡的所有信息。

这些数据被转发传输到黑客事先准备好的已经 root 的安卓智能手机，黑客利用这些数据通过两种方式窃取受害者钱财。

如果NFC数据成功传输，黑客会直接通过支付密钥暗地刷爆受害者信用卡；如果传输不成功，黑客还准备了备用方案。

那就是直接利用数据里的受害者账号和密码进行转账，将受害者信用卡账户的剩余额度资金转移到自己控制的账户里。

这是因为除网络钓鱼功能，NGate 恶意软件还附带一个 NFCGate 工具，该工具能够利用NFC功能中继传输设备数据。

因而被黑客利用窃取受害者银行卡数据，虽然一些功能仅适用于已被 root 的手机，但部分被 root 的手机一样能获取。

_{图片来源：pixabay}

当然，除了通过恶意应用远程窃取，攻击者还能在公共场所或人群密集的地方，通过物理访问的方式复制银行卡信息。

他们通过无人看管的钱包、背包或装有银行卡的智能手机壳读取银行卡，但一般仅限于在终端进行小额非接触式支付。

研究人员分析，黑客行动始于2023年11月底，他们建立了钓鱼网站放置伪装成银行客户端的NGate恶意软件下载地址。

这个钓鱼网站搭建在捷克境内，通过冒充合法银行网站或谷歌应用商店中的官方手机银行应用程序的短连接进行传播。

攻击者利用渐进式Web应用（PWA）卓越的能力，之后又通过称为 WebAPK 的更复杂版本的 PWA 来实现攻击目的。

2024年03月，该项目的一名负责人因在捷克部署银行木马被警方抓获，使得这起部署 NGate 恶意软件活动就被搁置。

但目前相关恶意软件还在流传，安全研究人员在网络中至少已发现六个不同的 NGate App 变种，具体受害人数不明。

如果说通过 NFC 功能窃取并传输银行卡信息颇为高端，那通过物理访问方式就略显低端，有种段子照进现实的感觉。

这种操作简单来说就是拿带闪付POS机，在公共场所贴人口袋，某个倒霉蛋口袋里的银行卡支持小额免密就能拿到钱。

安全专家对如何防范 NGate 恶意软件还是老生常谈：不要访问不明网站和安装不明来源的应用程序、防范钓鱼攻击。

还有就是非必要的情况下关闭NFC功能、使用保护壳或使用受身份验证保护的虚拟卡、严格保密银行卡 PIN 码等信息。

翻译工具：搜狗翻译

参考资料：

https://thehackernews.com/2024/08/new-android-malware-ngate-steals-nfc.html

https://www.helpnetsecurity.com/2024/08/22/android-malware-nfc-data-atm-withdrawals/

https://www.welivesecurity.com/en/eset-research/ngate-android-malware-relays-nfc-traffic-to-steal-cash/