行業新聞與博客

一種新的 Android 惡意軟件，旨在竊取受害者的卡詳細信息並將卡數據傳輸給攻擊者以進行 ATM 取款。

ESET 安全研究人員稱， 自 2024 年 3 月以來，一項犯罪軟件活動已針對三家捷克銀行的客户展開。

它使用 NGate，這是一種新型惡意軟件，經過多階段網絡釣魚活動後，受害者會在不知情的情況下下載到他們的設備上。

NGate 安裝並打開後，會顯示一個虛假網站，要求受害者提供銀行信息，然後將這些信息發送到攻擊者的服務器。

然而，更有趣的功能被稱為“NFCGate”，它可以在受害者和攻擊者設備之間傳遞近場通信 (NFC) 數據。NFC 是一種短距離無線技術，與用户 PIN 一起使用時可用於商店的非接觸式支付以及 ATM 取款。

NGate 會提示受害者輸入銀行客户 ID、生日和銀行卡 PIN 碼等信息。ESET 表示，它還會要求受害者在智能手機上打開 NFC，並指示受害者將支付卡放在設備旁邊，直到惡意應用程序識別出該卡。

有了竊取的 NFC 數據和 PIN，攻擊者便可以在 ATM 機上冒充受害者提取現金。ESET 聲稱，如果此舉無效，攻擊者仍可以利用釣魚銀行信息訪問受害者的賬户並轉移資金。

同樣的 NGate 惡意軟件可被物理上接近的惡意攻擊者使用，通過無人看管的包等“讀取”非接觸式卡數據。然而，報告補充説，如果使用這種技術複製和模仿受害者卡，它只會促進小額非接觸式支付。

NGate 惡意軟件的工作原理

多階段攻擊的工作原理如下：

• 攻擊者通過短信向受害者發送釣魚鏈接
• 受害者在不知情的情況下安裝了一個惡意的類似銀行的應用程序，該應用程序要求用户輸入銀行信息
• 惡意應用程序向攻擊者的服務器發送釣魚銀行憑證
• 攻擊者冒充銀行工作人員致電受害者，假裝發生了安全事故，並敦促他們更改 PIN 碼並通過惡意應用程序驗證他們的卡
• 攻擊者發送短信鏈接下載 NGate 惡意軟件
• NGate 從受害者的支付卡中中繼其 PIN 和 NFC 通信

ESET 惡意軟件研究員 Lukáš Štefanko 解釋説：“要確保免受此類複雜攻擊，需要採取某些主動措施來抵禦網絡釣魚、社會工程和 Android 惡意軟件等策略。”

“這意味着檢查網站的 URL、從官方商店下載應用程序、保密 PIN 碼、使用智能手機上的安全應用程序、在不需要時關閉 NFC 功能、使用保護套或使用受身份驗證保護的虛擬卡。”

谷歌發言人向 Infosecurity發送了以下聲明：“根據我們目前的檢測，Google Play 上未發現任何包含此惡意軟件的應用程序。Android 用户可以通過 Google Play Protect 自動防禦已知版本的惡意軟件，該功能在具有 Google Play 服務的 Android 設備上默認啓用。Google Play Protect 可以警告用户或阻止已知表現出惡意行為的應用程序，即使這些應用程序來自 Play 以外的來源。”