นักวิจัยด้านความปลอดภัยไซเบอร์ได้พบมัลแวร์ใหม่สำหรับโจมตี Android ที่สามารถส่งต่อข้อมูลจากบัตร Contactless ของเหยื่อจากบัตรเครดิตและบัตรเดบิตไปยังอุปกรณ์ที่ผู้โจมตีควบคุมโดยมีเป้าหมายเพื่อทำการการฉ้อโกง บริษัทด้านความปลอดภัยไซเบอร์ของสโลวาเกียกำลังติดตามมัลแวร์ใหม่ที่มีชื่อว่า NGate โดยระบุว่าบริษัทได้สังเกตเห็นแคมเปญอาชญากรรมที่กำหนดเป้าหมายเป็นธนาคารสามแห่งในสาธารณรัฐเช็ก

มัลแวร์ “มีความสามารถพิเศษในการส่งต่อข้อมูลจากบัตร Contactless ของเหยื่อผ่านแอปที่เป็นอันตรายที่ติดตั้งบนอุปกรณ์ Android ของเหยื่อไปยังโทรศัพท์ Android ที่ถูกรูทของผู้โจมตี” นักวิจัย Lukáš Štefanko และ Jakub Osmani กล่าวในการวิเคราะห์ วิธีการดังกล่าวเป็นส่วนหนึ่งของแคมเปญที่กำหนดเป้าหมายเป็นสถาบันการเงินในสาธารณรัฐเช็กตั้งแต่เดือนพฤศจิกายน 2023 โดยใช้ Progressive Web Apps ที่เป็นอันตราย (PWA) และ WebAPK การใช้ NGate ครั้งแรกที่บันทึกไว้คือในเดือนมีนาคม 2024 เป้าหมายของการโจมตีคือการโคลนข้อมูล Near-Field Communication (NFC) จากบัตร Contactless ของเหยื่อโดยใช้ NGate และส่งข้อมูลดังกล่าวไปยังอุปกรณ์ของผู้โจมตีซึ่งจะเลียนแบบบัตรเดิมเพื่อถอนเงินจากตู้ ATM

NGate มีรากฐานมาจากเครื่องมือที่ถูกกฎหมายชื่อว่า NFCGate ซึ่งพัฒนาขึ้นครั้งแรกในปี 2015 เพื่อวัตถุประสงค์ในการวิจัยด้านความปลอดภัยโดยนักศึกษาจากห้องปฏิบัติการ Secure Mobile Networking ที่ TU Darmstadt

เชื่อกันว่ากลุ่มผู้โจมตีนั้นใช้การผสมผสานระหว่าง Social Engineering และ SMS phishing เพื่อหลอกผู้ใช้ให้ติดตั้ง NGate โดยนำผู้ใช้ไปยังโดเมนชั่วคราวที่แอบอ้างเป็นเว็บไซต์ธนาคารที่ถูกกฎหมายหรือแอปธนาคารบนมือถืออย่างเป็นทางการที่มีอยู่ใน Google Play Store มีการระบุแอป NGate ที่แตกต่างกันถึง 6 แอประหว่างเดือนพฤศจิกายน 2023 ถึงมีนาคม 2024 โดยที่การโจมตีต่างๆ หยุดชะงักลงหลังจากที่ทางการสาธารณรัฐเช็กจับกุมชายวัย 22 ปีในข้อหาขโมยเงินจากตู้ ATM

นอกจาก NGate จะใช้ประโยชน์จากฟังก์ชัน NFCGate เพื่อดักจับข้อมูล NFC และส่งต่อไปยังอุปกรณ์อื่นแล้ว ยังแจ้งให้ผู้ใช้ป้อนข้อมูลทางการเงินที่สำคัญ เช่น รหัสธนาคาร วันเกิด และรหัส PIN ของบัตรธนาคารของตนอีกด้วย หน้าฟิชชิ่งถูกนำเสนอภายใน WebView “นอกจากนี้ ยังขอให้เหยื่อเปิดคุณสมบัติ NFC บนสมาร์ทโฟนด้วย” นักวิจัยกล่าว “จากนั้นเหยื่อจะได้รับคำแนะนำให้วาง Payment card ไว้ที่ด้านหลังสมาร์ทโฟน จนกว่าแอปที่เป็นอันตรายจะจดจำบัตรได้”

นอกจากนี้ การโจมตียังใช้แนวทางที่แยบยล โดยผู้เสียหายจะติดตั้งแอป PWA หรือ WebAPK ผ่านลิงก์ที่ส่งมาทางข้อความ SMS แล้วทำการฟิชชิ่งข้อมูลประจำตัว และรับสายจากผู้โจมตี ซึ่งแอบอ้างเป็นพนักงานธนาคารและแจ้งให้พวกเขาทราบว่าบัญชีธนาคารของพวกเขาถูกบุกรุกอันเป็นผลจากการติดตั้งแอปดังกล่าว จากนั้นพวกเขาจะได้รับคำแนะนำให้เปลี่ยน PIN และตรวจสอบบัตรธนาคารโดยใช้แอปมือถืออื่น (เช่น NGate) ซึ่งลิงก์การติดตั้งจะถูกส่งมาทาง SMS เช่นกัน ไม่มีหลักฐานว่าแอปเหล่านี้ถูกเผยแพร่ผ่าน Google Play Store

ในแถลงการณ์ที่แชร์กับ The Hacker News บริษัท Google ยืนยันว่าไม่พบแอปที่มีมัลแวร์ดังกล่าวบน Android Marketplace อย่างเป็นทางการ บริษัทยังกล่าวอีกว่าผู้ใช้จะได้รับการปกป้องโดยอัตโนมัติจาก NGate เวอร์ชันที่รู้จักโดย Google Play Protect ซึ่งเปิดใช้งานตามค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services แม้ว่าจะดาวน์โหลดแอปจากแหล่งบุคคลที่สามก็ตาม 

ในขณะที่ Zscaler ThreatLabz ได้ให้รายละเอียดเกี่ยวกับโทรจันธนาคารบนระบบปฏิบัติการ Android รุ่นใหม่ที่เรียกว่า Copybara ซึ่งแพร่กระจายผ่านการโจมตีแบบ Voice phishing (vishing) และล่อเหยื่อให้ป้อนข้อมูลประจำตัวบัญชีธนาคารของตน

(เนื้อหานี้ได้รับการอัปเดตหลังจากเผยแพร่เพื่อรวมคำตอบจาก Google)