NGate 恶意软件通过 NFC 窃取银行数据

安全公司 ESET 最近报告了一款主要针对Android 用户的恶意软件，它利用社交工程攻击和窃取的 NFC 流量来窃取银行数据。 银行数据用户的银行数据。该恶意软件被称为 "Ngate"，它允许攻击者从受影响用户的银行账户中窃取资金。这种攻击的独特之处在于它有多个活动部分，而且据说是第一次在野外看到将 NFC 拦截作为多层面方法的一部分。

攻击方式相对简单。首先要说服用户安装他们所选择的银行应用程序的虚假版本。这是通过恶意广告或渐进式网络应用程序来实现的，它们模仿 Google Play 的官方界面并选择银行应用程序，诱使用户安装他们认为是其他的东西，通常是一个重要的安全更新。这是一个由两部分组成的过程：第一部分旨在让用户同意访问他们的硬件和银行数据，第二部分安装真正的恶意软件。

该恶意软件基于名为 NFCGate 的开源工具集，由德国大学生开发，目的是分析或改变主机设备上的 NFC 流量。另一方面，NGate 是一款纯粹用于监听和传输的应用程序。当受感染的设备靠近一张 NFC 银行卡或任何其他 NFC 标签或卡片时，设备就会捕捉到通过 NFC 发送的信息，并将其转发给攻击者。在那里，他们可以使用具有 root 权限的Android 设备来克隆 NFC 输出。这样，他们就能骗过 ATM 或其他 NFC 设备，让它们误以为自己持有该卡或标签。加上第一步窃取的银行信息，他们就可以访问或更改受害者的 PIN 码并取款。

至少从 2023 年 11 月起，这种攻击就开始在捷克活动。这种战术似乎只在有限的范围内使用，通过六个假冒应用程序针对捷克三家银行的客户。2024 年 3 月，一名使用恶意软件盗取资金的人在布拉格被捕，身上大约有相当于 6500 美元的被盗资金。他的身份和国籍尚未披露。报告指出，自他被捕后，这种攻击似乎已经停止。

虽然 ESET 认为这种活动已经停止，但另一个攻击者采用相同的工具集和方法，然后为新的受众改头换面也不会太难。值得注意的是，在官方的 谷歌应用商店.谷歌向新闻媒体 Bleeping Computer 证实了这一点，称 Google Play Protect 包含针对 NGate 的保护。