行業新聞與部落格

一種新的 Android 惡意軟體，旨在竊取受害者的卡詳細資訊並將卡資料傳輸給攻擊者以進行 ATM 取款。

ESET 安全研究人員稱， 自 2024 年 3 月以來，一項犯罪軟體活動已針對三家捷克銀行的客戶展開。

它使用 NGate，這是一種新型惡意軟體，經過多階段網路釣魚活動後，受害者會在不知情的情況下下載到他們的裝置上。

NGate 安裝並開啟後，會顯示一個虛假網站，要求受害者提供銀行資訊，然後將這些資訊傳送到攻擊者的伺服器。

然而，更有趣的功能被稱為“NFCGate”，它可以在受害者和攻擊者裝置之間傳遞近場通訊 (NFC) 資料。NFC 是一種短距離無線技術，與使用者 PIN 一起使用時可用於商店的非接觸式支付以及 ATM 取款。

NGate 會提示受害者輸入銀行客戶 ID、生日和銀行卡 PIN 碼等資訊。ESET 表示，它還會要求受害者在智慧手機上開啟 NFC，並指示受害者將支付卡放在裝置旁邊，直到惡意應用程式識別出該卡。

有了竊取的 NFC 資料和 PIN，攻擊者便可以在 ATM 機上冒充受害者提取現金。ESET 聲稱，如果此舉無效，攻擊者仍可以利用釣魚銀行資訊訪問受害者的賬戶並轉移資金。

同樣的 NGate 惡意軟體可被物理上接近的惡意攻擊者使用，透過無人看管的包等“讀取”非接觸式卡資料。然而，報告補充說，如果使用這種技術複製和模仿受害者卡，它只會促進小額非接觸式支付。

NGate 惡意軟體的工作原理

多階段攻擊的工作原理如下：

• 攻擊者透過簡訊向受害者傳送釣魚連結
• 受害者在不知情的情況下安裝了一個惡意的類似銀行的應用程式，該應用程式要求使用者輸入銀行資訊
• 惡意應用程式向攻擊者的伺服器傳送釣魚銀行憑證
• 攻擊者冒充銀行工作人員致電受害者，假裝發生了安全事故，並敦促他們更改 PIN 碼並透過惡意應用程式驗證他們的卡
• 攻擊者傳送簡訊連結下載 NGate 惡意軟體
• NGate 從受害者的支付卡中中繼其 PIN 和 NFC 通訊

ESET 惡意軟體研究員 Lukáš Štefanko 解釋說：“要確保免受此類複雜攻擊，需要採取某些主動措施來抵禦網路釣魚、社會工程和 Android 惡意軟體等策略。”

“這意味著檢查網站的 URL、從官方商店下載應用程式、保密 PIN 碼、使用智慧手機上的安全應用程式、在不需要時關閉 NFC 功能、使用保護套或使用受身份驗證保護的虛擬卡。”

谷歌發言人向 Infosecurity傳送了以下宣告：“根據我們目前的檢測，Google Play 上未發現任何包含此惡意軟體的應用程式。Android 使用者可以透過 Google Play Protect 自動防禦已知版本的惡意軟體，該功能在具有 Google Play 服務的 Android 裝置上預設啟用。Google Play Protect 可以警告使用者或阻止已知表現出惡意行為的應用程式，即使這些應用程式來自 Play 以外的來源。”