Logiciel malveillant NGate pour mobile
Des chercheurs en cybersécurité ont identifié un nouveau malware Android capable de relayer les données de paiement sans contact des victimes à partir de cartes de crédit et de débit physiques vers un appareil contrôlé par des attaquants, permettant ainsi des transactions frauduleuses.
Ce malware, connu sous le nom de NGate, cible principalement trois banques en République tchèque. NGate fonctionne en transférant les données de carte de paiement de l'appareil Android d'une victime, sur lequel une application menaçante a été installée, vers le téléphone Android rooté de l'attaquant.
Cette opération fait partie d'une campagne plus vaste, active depuis novembre 2023, qui cible les institutions financières en République tchèque via des applications Web progressives (PWA) et des WebAPK compromis. La première instance connue de NGate a été détectée en mars 2024.
Table des matières
Les acteurs malveillants tentent de récupérer les informations de carte de paiement
L'objectif principal de ces attaques est de cloner les données de communication en champ proche (NFC) des cartes de paiement physiques des victimes à l'aide de NGate. Les informations collectées sont ensuite transmises à un appareil contrôlé par l'attaquant, qui émule la carte d'origine pour retirer de l'argent à un distributeur automatique.
NGate est issu d'un outil légitime appelé NFCGate, initialement développé en 2015 à des fins de recherche en sécurité.
La stratégie d'attaque implique probablement un mélange d'ingénierie sociale et de phishing par SMS, où les utilisateurs sont trompés et incitent à installer NGate en étant redirigés vers des domaines de courte durée qui imitent des sites Web bancaires légitimes ou des applications bancaires mobiles officielles sur le Google Play Store.
Plusieurs applications NGate menaçantes découvertes
Entre novembre 2023 et mars 2024, six applications NGate différentes ont été identifiées avant que les activités ne soient probablement interrompues en raison de l'arrestation d'un jeune de 22 ans par les autorités tchèques en lien avec un vol de fonds dans un distributeur automatique de billets.
NGate exploite non seulement la fonctionnalité de NFCGate pour capturer et relayer le trafic NFC vers un autre appareil, mais invite également les utilisateurs à saisir des informations financières sensibles, telles que leur identifiant client bancaire, leur date de naissance et le code PIN de leur carte. Cette page de phishing s'affiche dans une vue Web.
De plus, l'application demande aux utilisateurs d'activer la fonction NFC sur leurs smartphones et de maintenir leur carte de paiement contre l'arrière de l'appareil jusqu'à ce que la carte soit reconnue par l'application malveillante.
Les attaquants appellent leurs victimes pour les exploiter davantage
Les attaques adoptent en outre une approche insidieuse dans la mesure où les victimes, après avoir installé l'application PWA ou WebAPK via des liens envoyés par SMS, se font pirater leurs identifiants et reçoivent ensuite des appels de l'acteur malveillant, qui se fait passer pour un employé de banque et les informe que leur compte bancaire a été compromis à la suite de l'installation de l'application.
Il leur est ensuite demandé de modifier leur code PIN et de valider leur carte bancaire à l'aide d'une autre application mobile (NGate), dont un lien d'installation leur est également envoyé par SMS. Rien ne prouve que ces applications aient été distribuées via le Google Play Store.
NGate utilise deux serveurs distincts pour faciliter ses opérations. Le premier est un site Web de phishing conçu pour inciter les victimes à fournir des informations sensibles et capable de lancer une attaque par relais NFC. Le second est un serveur relais NFCGate chargé de rediriger le trafic NFC de l'appareil de la victime vers celui de l'attaquant.
