NGate adlı kötü amaçlı yazılım, Android cihazlarına yüklenen kötü amaçlı bir uygulama aracılığıyla kurbanların ödeme kartlarındaki verileri saldırganın root’lu Android telefonuna aktarma gibi benzersiz bir yeteneğe sahip.
Suç kampanyasının birincil amacı, kurbanların banka hesaplarından yetkisiz ATM para çekme işlemlerini kolaylaştırmak. Bu yasa dışı işlem, kurbanların fiziksel ödeme kartlarındaki yakın alan iletişimi (NFC) verilerinin, NGate Android kötü amaçlı yazılımı kullanılarak ele geçirilmiş Android akıllı telefonları aracılığıyla saldırganın cihazına aktarılmasıyla gerçekleştirilmiş.
Saldırgan daha sonra bu verileri ATM işlemlerini gerçekleştirmek için kullanmış. Bu yöntemin başarısız olması durumunda saldırganın kurbanların hesaplarından başka banka hesaplarına para aktarmak için oluşturduğu bir yedek planın da olduğu belirlendi.
NGate hiçbir zaman resmi Google Play mağazasında yer almadı
NGate Android kötü amaçlı yazılımı, Kasım 2023’ten bu yana Çekya’da faaliyet gösteren bir tehdit aktörünün kimlik avı faaliyetleriyle ilgili. Mart 2024’te bir şüphelinin tutuklanmasının ardından bu faaliyetlerin askıya alındığına inanıyor.
Güvenlik araştırmacıları , önde gelen Çek bankalarının müşterilerini hedef alan tehdit aktörünü ilk olarak Kasım 2023’ün sonunda fark etti. Kötü amaçlı yazılım, yasal bankacılık web sitelerini veya Google Play mağazasında bulunan resmi mobil bankacılık uygulamalarını taklit eden kısa ömürlü alan adları aracılığıyla teslim edildi. Bu sahte alan adları, bir müşterinin markasını hedef alan tehditlerin izlenmesini sağlayan İstihbarat Hizmeti aracılığıyla tespit edildi.
Saldırganlar aşamalı web uygulamalarının (PWA’lar) potansiyelinden yararlandılar ancak daha sonra WebAPK’lar olarak bilinen PWA’ların daha sofistike bir versiyonunu kullanarak stratejilerini geliştirdiler. Sonunda operasyon NGate zararlı yazılımının dağıtılmasıyla sonuçlandı.
Güvenlik araştırmacıları, Mart 2024’te NGate Android kötü amaçlı yazılımının, daha önce kötü amaçlı PWA’lar ve WebAPK’lar sunan kimlik avı kampanyalarını kolaylaştırmak için kullanılan aynı dağıtım alanlarında kullanılabilir hale geldiğini keşfetti. Yüklendikten ve açıldıktan sonra NGate, kullanıcının bankacılık bilgilerini isteyen sahte bir web sitesi görüntülüyor ve bu bilgiler daha sonra saldırganın sunucusuna gönderiliyor.
Kimlik avı yeteneklerine ek olarak, NGate kötü amaçlı yazılımı, NFCGate adı verilen ve NFC verilerini iki cihaz (kurbanın cihazı ve failin cihazı) arasında aktarmak için kötüye kullanılan bir araçla birlikte gelir. Bu özelliklerden bazıları yalnızca köklü cihazlarda çalışır ancak bu durumda, NFC trafiğini köklü olmayan cihazlardan da aktarmak mümkün.
NGate ayrıca kurbanlarından banka müşteri kimlikleri, doğum tarihleri ve banka kartlarının PIN kodu gibi hassas bilgileri girmelerini ister. Ayrıca akıllı telefonlarındaki NFC özelliğini açmalarını ve ardından kurbanlardan, kötü niyetli uygulama kartı tanıyana kadar ödeme kartlarını akıllı telefonlarının arkasına yerleştirmeleri talep eder.
NGate kötü amaçlı yazılımı tarafından kullanılan tekniğe ek olarak, ödeme kartlarına fiziksel erişimi olan bir saldırgan potansiyel olarak bunları kopyalayabilir ve taklit edebilir. Bu teknik, özellikle halka açık ve kalabalık yerlerde kartların bulunduğu başıboş çantalar, cüzdanlar, sırt çantaları veya akıllı telefon kılıfları aracılığıyla kartları okumaya çalışan bir saldırgan tarafından kullanılabilir. Ancak bu senaryo genellikle terminal noktalarında küçük temassız ödemeler yapmakla sınırlıdır.
