New NGate Android malware uses NFC chip to steal credit card data

NGateと名付けられた新しいAndroidマルウェアは、近距離無線通信(NFC)チップによって読み取られたデータを攻撃者のデバイスに中継することで、決済カードから金銭を盗むことができる。

具体的には、NGateは攻撃者が被害者のカードをエミュレートし、不正な支払いやATMからの現金引き出しを可能にする。

このキャンペーンは、2023年11月以降活発に行われており、チェコのユーザーから銀行の認証情報を盗むためにプログレッシブWebアプリ(PWA)や高度なWebAPKの利用が増加しているというESETの最新レポートと関連している。

本日発表された調査において、サイバーセキュリティ企業は、NGateマルウェアがキャンペーン中に使用され、現金を直接窃取するケースもあったとしています。

NFCチップ経由でカードデータを盗む

攻撃は、悪意のあるテキスト、事前に録音されたメッセージによる自動コール、または被害者を騙して悪意のあるPWA、そして後にWebAPKをデバイスにインストールさせるための不正広告から始まる。

これらのWebアプリは、緊急のセキュリティ・アップデートとして宣伝され、標的となる銀行の公式アイコンとログイン・インターフェースを使用して、クライアントのアクセス認証情報を盗み出します。

Fake Play Store pages from where the WebAPK is installed
WebAPK がインストールされる偽の Play ストアページ
ソースはこちら:ESET

これらのアプリは、インストール時に許可を必要としません。その代わり、デバイスのハードウェア・コンポーネントに必要なアクセスを得るために、実行されるウェブ・ブラウザのAPIを悪用します。

WebAPKを介してフィッシングステップが実行されると、被害者は、2番目の攻撃フェーズの後続のステップを介してNGateもインストールするように騙されます。

インストールされると、マルウェアは「NFCGate」と呼ばれるオープンソースのコンポーネントを起動する

このツールは、デバイス上でのキャプチャ、中継、再生、クローン作成機能をサポートしており、動作させるためにデバイスを「root化」する必要は必ずしもない。

NGateはこのツールを使用して、感染したデバイスに近接したペイメントカードからNFCデータをキャプチャし、それを直接またはサーバーを介して攻撃者のデバイスに中継する。

攻撃者はこのデータをデバイス上に仮想カードとして保存し、NFCを使用するATMで信号を再生して現金を引き出したり、POSシステムで支払いを行ったりすることができます。

NFC data relay process
NFC データ中継プロセス
ソースはこちら:ESET

ESETのマルウェア研究者であるLukas Stefanko氏は、デモビデオの中で、NGateのNFCGateコンポーネントを使用して、財布やバックパックのカードデータをスキャンしてキャプチャする方法も紹介しています。このシナリオでは、店舗の攻撃者がサーバーを通じてデータを受信し、被害者のカードを使って非接触決済を行うことができる。

Stefanko氏は、このマルウェアはNFCアクセスカードやトークンの一意の識別子を複製し、制限区域に侵入するためにも使用できると指摘している。

カード暗証番号の取得

ほとんどのATMで現金を引き出すには、カードのPINコードが必要だが、研究者によれば、被害者をソーシャルエンジニアリングすることでPINコードを入手することができるという。

PWA/WebAPKフィッシングのステップが完了すると、詐欺師は銀行員のふりをして被害者に電話をかけ、被害者に影響を与えるセキュリティ・インシデントを通知する。

そして、既存の支払いカードと暗証番号を確認するためのアプリと思われるNGateをダウンロードするためのリンクをSMSで送信する。

被害者がデバイスでカードをスキャンし、マルウェアのフィッシング・インターフェースでPINを入力して「検証」すると、機密情報が攻撃者に送信され、引き出しが可能になる。

The complete attack overview
完全な攻撃概要
ESET

チェコの警察は、プラハでこのような引き出しを実行したサイバー犯罪者の1人をすでに逮捕しているが、この手口が流行する可能性があるため、Androidユーザーにとっては重大なリスクとなる。

ESETはまた、地域のアクセスタグ、交通機関のチケット、IDバッジ、会員カード、その他のNFC搭載技術をクローン化する可能性にも注目しており、直接的な金銭損失だけが悪いシナリオではない。

NFCを積極的に使用していない場合は、デバイスのNFCチップを無効にすることでリスクを軽減できる。アンドロイドの場合、「設定」>「接続デバイス」>「接続設定」>「NFC」と進み、トグルをオフにする。

Android NFC setting

NFCを常に有効にする必要がある場合は、すべてのアプリのパーミッションを精査し、必要なものだけにアクセスを制限すること。銀行アプリは金融機関の公式ウェブページまたはGoogle Playからのみインストールし、使用しているアプリがWebAPKでないことを確認すること。

WebAPKは通常、サイズが非常に小さく、ブラウザのページから直接インストールされ、標準的なAndroidアプリのように「/data/app」の下に表示されず、「設定」>「アプリ」の下に非定型的に限られた情報が表示される。

更新 8/23– Googleの広報担当者は、AndroidのデフォルトのマルウェアスキャナーであるGoogle PlayプロテクトがNGateを検出していると述べた:

「現在の検出結果によると、このマルウェアを含むアプリはGoogle Playでは見つかっていません。

Android ユーザーは、Google Play サービスが利用可能な Android 端末ではデフォルトで有効になっている Google Play プロテクトによって、このマルウェアの既知のバージョンから自動的に保護されます。

Google Playプロテクトは、悪意のある動作をすることが判明しているアプリに対して、ユーザーに警告を発したり、ブロックしたりすることができます。”- グーグル広報担当者