NGateと名付けられた新しいAndroidマルウェアは、近距離無線通信(NFC)チップによって読み取られたデータを攻撃者のデバイスに中継することで、決済カードから金銭を盗むことができる。
具体的には、NGateは攻撃者が被害者のカードをエミュレートし、不正な支払いやATMからの現金引き出しを可能にする。
このキャンペーンは、2023年11月以降活発に行われており、チェコのユーザーから銀行の認証情報を盗むためにプログレッシブWebアプリ(PWA)や高度なWebAPKの利用が増加しているというESETの最新レポートと関連している。
本日発表された調査において、サイバーセキュリティ企業は、NGateマルウェアがキャンペーン中に使用され、現金を直接窃取するケースもあったとしています。
NFCチップ経由でカードデータを盗む
攻撃は、悪意のあるテキスト、事前に録音されたメッセージによる自動コール、または被害者を騙して悪意のあるPWA、そして後にWebAPKをデバイスにインストールさせるための不正広告から始まる。
これらのWebアプリは、緊急のセキュリティ・アップデートとして宣伝され、標的となる銀行の公式アイコンとログイン・インターフェースを使用して、クライアントのアクセス認証情報を盗み出します。
これらのアプリは、インストール時に許可を必要としません。その代わり、デバイスのハードウェア・コンポーネントに必要なアクセスを得るために、実行されるウェブ・ブラウザのAPIを悪用します。
WebAPKを介してフィッシングステップが実行されると、被害者は、2番目の攻撃フェーズの後続のステップを介してNGateもインストールするように騙されます。
インストールされると、マルウェアは「NFCGate」と呼ばれるオープンソースのコンポーネントを起動する。
このツールは、デバイス上でのキャプチャ、中継、再生、クローン作成機能をサポートしており、動作させるためにデバイスを「root化」する必要は必ずしもない。
NGateはこのツールを使用して、感染したデバイスに近接したペイメントカードからNFCデータをキャプチャし、それを直接またはサーバーを介して攻撃者のデバイスに中継する。
攻撃者はこのデータをデバイス上に仮想カードとして保存し、NFCを使用するATMで信号を再生して現金を引き出したり、POSシステムで支払いを行ったりすることができます。
ESETのマルウェア研究者であるLukas Stefanko氏は、デモビデオの中で、NGateのNFCGateコンポーネントを使用して、財布やバックパックのカードデータをスキャンしてキャプチャする方法も紹介しています。このシナリオでは、店舗の攻撃者がサーバーを通じてデータを受信し、被害者のカードを使って非接触決済を行うことができる。
Stefanko氏は、このマルウェアはNFCアクセスカードやトークンの一意の識別子を複製し、制限区域に侵入するためにも使用できると指摘している。
カード暗証番号の取得
ほとんどのATMで現金を引き出すには、カードのPINコードが必要だが、研究者によれば、被害者をソーシャルエンジニアリングすることでPINコードを入手することができるという。
PWA/WebAPKフィッシングのステップが完了すると、詐欺師は銀行員のふりをして被害者に電話をかけ、被害者に影響を与えるセキュリティ・インシデントを通知する。
そして、既存の支払いカードと暗証番号を確認するためのアプリと思われるNGateをダウンロードするためのリンクをSMSで送信する。
被害者がデバイスでカードをスキャンし、マルウェアのフィッシング・インターフェースでPINを入力して「検証」すると、機密情報が攻撃者に送信され、引き出しが可能になる。
チェコの警察は、プラハでこのような引き出しを実行したサイバー犯罪者の1人をすでに逮捕しているが、この手口が流行する可能性があるため、Androidユーザーにとっては重大なリスクとなる。
ESETはまた、地域のアクセスタグ、交通機関のチケット、IDバッジ、会員カード、その他のNFC搭載技術をクローン化する可能性にも注目しており、直接的な金銭損失だけが悪いシナリオではない。
NFCを積極的に使用していない場合は、デバイスのNFCチップを無効にすることでリスクを軽減できる。アンドロイドの場合、「設定」>「接続デバイス」>「接続設定」>「NFC」と進み、トグルをオフにする。
NFCを常に有効にする必要がある場合は、すべてのアプリのパーミッションを精査し、必要なものだけにアクセスを制限すること。銀行アプリは金融機関の公式ウェブページまたはGoogle Playからのみインストールし、使用しているアプリがWebAPKでないことを確認すること。
WebAPKは通常、サイズが非常に小さく、ブラウザのページから直接インストールされ、標準的なAndroidアプリのように「/data/app」の下に表示されず、「設定」>「アプリ」の下に非定型的に限られた情報が表示される。
更新 8/23– Googleの広報担当者は、AndroidのデフォルトのマルウェアスキャナーであるGoogle PlayプロテクトがNGateを検出していると述べた:
「現在の検出結果によると、このマルウェアを含むアプリはGoogle Playでは見つかっていません。
Android ユーザーは、Google Play サービスが利用可能な Android 端末ではデフォルトで有効になっている Google Play プロテクトによって、このマルウェアの既知のバージョンから自動的に保護されます。
Google Playプロテクトは、悪意のある動作をすることが判明しているアプリに対して、ユーザーに警告を発したり、ブロックしたりすることができます。”- グーグル広報担当者
Comments