Cybersecurityonderzoekers hebben nieuwe Android-malware ontdekt die de contactloze betalingsgegevens van slachtoffers op fysieke creditcards en betaalpassen kan doorgeven aan een door de aanvaller beheerd apparaat. Op die manier kunnen ze frauduleuze handelingen uitvoeren.
Het Slowaakse cybersecuritybedrijf volgt de nieuwe malware onder de naam NGate en zegt dat het de crimeware-campagne heeft waargenomen die gericht was op drie banken in Tsjechië.
De malware “heeft de unieke mogelijkheid om gegevens van de betaalpassen van slachtoffers via een schadelijke app die op hun Android-apparaten is geïnstalleerd, door te sturen naar de geroote Android-telefoon van de aanvaller”, aldus onderzoekers Lukáš Štefanko en Jakub Osmani in een analyse.
De activiteit is onderdeel van een bredere campagne die sinds november 2023 gericht is op financiële instellingen in Tsjechië met behulp van kwaadaardige progressieve web-apps (PWA’s) en WebAPK’s. Het eerste geregistreerde gebruik van NGate was in maart 2024.
Het uiteindelijke doel van de aanvallen is om NFC-gegevens (near-field communication) van de fysieke betaalpassen van slachtoffers te klonen met behulp van NGate en de informatie te verzenden naar het apparaat van de aanvaller. Deze bootst vervolgens de originele pas na om geld op te nemen bij een geldautomaat.
NGate vindt zijn oorsprong in een legitieme tool genaamd NFCGate, die oorspronkelijk in 2015 werd ontwikkeld voor beveiligingsonderzoek door studenten van het Secure Mobile Networking Lab aan de TU Darmstadt.
Er wordt aangenomen dat de aanvalsketens bestaan uit een combinatie van social engineering en sms-phishing. De bedoeling is om gebruikers te misleiden en NGate te installeren. Gebruikers worden doorgestuurd naar kortdurende domeinen die zich voordoen als legitieme bankwebsites of officiële mobiele bank-apps die beschikbaar zijn in de Google Play Store.
Tot nu toe zijn er tussen november 2023 en maart 2024 maar liefst zes verschillende NGate-apps geïdentificeerd. De activiteiten kwamen toen waarschijnlijk tot stilstand nadat de Tsjechische autoriteiten een 22-jarige man hadden gearresteerd in verband met diefstal van geld uit geldautomaten.
NGate misbruikt niet alleen de functionaliteit van NFCGate om NFC-verkeer vast te leggen en door te geven aan een ander apparaat, maar vraagt gebruikers ook om gevoelige financiële informatie in te voeren, waaronder de client-ID van de bank, geboortedatum en de pincode van hun bankpas. De phishingpagina wordt gepresenteerd in een WebView.
“Het vraagt hen ook om de NFC-functie op hun smartphone aan te zetten,” aldus de onderzoekers. “Vervolgens krijgen slachtoffers de opdracht om hun betaalkaart op de achterkant van hun smartphone te leggen totdat de kwaadaardige app de kaart herkent.”
De aanvallen hanteren bovendien een sluwe aanpak: slachtoffers die de PWA- of WebAPK-app hebben geïnstalleerd via links die via sms-berichten zijn verzonden, worden geconfronteerd met phishing van hun inloggegevens. Vervolgens ontvangen ze telefoontjes van de kwaadwillende partij, die zich voordoet als een bankmedewerker en hen informeert dat hun bankrekening is gehackt als gevolg van de installatie van de app.
Vervolgens krijgen ze de opdracht om hun pincode te wijzigen en hun bankpas te valideren met een andere mobiele app (bijvoorbeeld NGate), waarvan de installatielink ook via sms wordt verzonden. Er is geen bewijs dat deze apps via de Google Play Store zijn verspreid.
“NGate gebruikt twee afzonderlijke servers om zijn activiteiten te vergemakkelijken,” legden de onderzoekers uit. “De eerste is een phishingwebsite die is ontworpen om slachtoffers te verleiden om gevoelige informatie te verstrekken en die een NFC-relayaanval kan initiëren. De tweede is een NFCGate-relayserver die NFC-verkeer van het apparaat van het slachtoffer naar dat van de aanvaller moet omleiden.”
De onthulling komt nadat Zscaler ThreatLabz een nieuwe variant van een bekende Android-bankingtrojan heeft beschreven, genaamd Copybara. Deze variant wordt verspreid via voice phishing-aanvallen (vishing) en verleidt gebruikers tot het invoeren van hun bankrekeninggegevens.
“Deze nieuwe variant van Copybara is actief sinds november 2023 en maakt gebruik van het MQTT-protocol om communicatie tot stand te brengen met de command-and-control (C2)-server”, aldus Ruchna Nigam.
“De malware misbruikt de toegankelijkheidsfunctie die standaard is op Android-apparaten om gedetailleerde controle uit te oefenen over het geïnfecteerde apparaat. Op de achtergrond downloadt de malware ook phishingpagina’s die populaire cryptocurrencybeurzen en financiële instellingen imiteren met behulp van hun logo’s en applicatienamen.”