行业新闻与博客

一种新的 Android 恶意软件，旨在窃取受害者的卡详细信息并将卡数据传输给攻击者以进行 ATM 取款。

ESET 安全研究人员称， 自 2024 年 3 月以来，一项犯罪软件活动已针对三家捷克银行的客户展开。

它使用 NGate，这是一种新型恶意软件，经过多阶段网络钓鱼活动后，受害者会在不知情的情况下下载到他们的设备上。

NGate 安装并打开后，会显示一个虚假网站，要求受害者提供银行信息，然后将这些信息发送到攻击者的服务器。

然而，更有趣的功能被称为“NFCGate”，它可以在受害者和攻击者设备之间传递近场通信 (NFC) 数据。NFC 是一种短距离无线技术，与用户 PIN 一起使用时可用于商店的非接触式支付以及 ATM 取款。

NGate 会提示受害者输入银行客户 ID、生日和银行卡 PIN 码等信息。ESET 表示，它还会要求受害者在智能手机上打开 NFC，并指示受害者将支付卡放在设备旁边，直到恶意应用程序识别出该卡。

有了窃取的 NFC 数据和 PIN，攻击者便可以在 ATM 机上冒充受害者提取现金。ESET 声称，如果此举无效，攻击者仍可以利用钓鱼银行信息访问受害者的账户并转移资金。

同样的 NGate 恶意软件可被物理上接近的恶意攻击者使用，通过无人看管的包等“读取”非接触式卡数据。然而，报告补充说，如果使用这种技术复制和模仿受害者卡，它只会促进小额非接触式支付。

NGate 恶意软件的工作原理

多阶段攻击的工作原理如下：

• 攻击者通过短信向受害者发送钓鱼链接
• 受害者在不知情的情况下安装了一个恶意的类似银行的应用程序，该应用程序要求用户输入银行信息
• 恶意应用程序向攻击者的服务器发送钓鱼银行凭证
• 攻击者冒充银行工作人员致电受害者，假装发生了安全事故，并敦促他们更改 PIN 码并通过恶意应用程序验证他们的卡
• 攻击者发送短信链接下载 NGate 恶意软件
• NGate 从受害者的支付卡中中继其 PIN 和 NFC 通信

ESET 恶意软件研究员 Lukáš Štefanko 解释说：“要确保免受此类复杂攻击，需要采取某些主动措施来抵御网络钓鱼、社会工程和 Android 恶意软件等策略。”

“这意味着检查网站的 URL、从官方商店下载应用程序、保密 PIN 码、使用智能手机上的安全应用程序、在不需要时关闭 NFC 功能、使用保护套或使用受身份验证保护的虚拟卡。”

谷歌发言人向 Infosecurity发送了以下声明：“根据我们目前的检测，Google Play 上未发现任何包含此恶意软件的应用程序。Android 用户可以通过 Google Play Protect 自动防御已知版本的恶意软件，该功能在具有 Google Play 服务的 Android 设备上默认启用。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自 Play 以外的来源。”