Nguy cơ mất sạch tiền từ phần mềm độc hại NGate trên Android
Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.
Phần mềm độc hại này sẽ cho phép tấn công sử dụng dữ liệu của người dùng tại các máy ATM và máy POS (điểm bán hàng) để rút tiền hoặc thanh toán cho các giao dịch mua tại máy tính tiền. Phần mềm độc hại được đặt tên là NGate vì bộ công cụ NFCGate được sử dụng để phân tích lưu lượng NFC được những kẻ tấn công sử dụng.
Cảnh sát Cộng hòa Séc đã phá vỡ một băng nhóm sử dụng phương thức này sau khi bắt giữ một trong những thành viên của nhóm đang rút tiền mặt từ một máy ATM ở Prague (Cộng hòa Séc).
Về cách thức hoạt động, nạn nhân sẽ nhận được một tin nhắn khẩn cấp yêu cầu họ cài đặt một ứng dụng vì có vấn đề với tờ khai thuế của họ. Tin nhắn này sẽ chứa một liên kết đến một trang web giả mạo thu thập thông tin đăng nhập của nạn nhân, cung cấp cho kẻ tấn công quyền truy cập vào tài khoản ngân hàng của mục tiêu.
Nạn nhân sau đó sẽ nhận được một cuộc gọi điện thoại từ kẻ tấn công giả làm nhân viên ngân hàng với thông báo gửi một tin nhắn văn bản chứa liên kết đến một ứng dụng được dùng để bảo vệ tài khoản của anh ta bằng cách cho phép họ thay đổi mã PIN và xác minh thẻ của mình. Nạn nhân được yêu cầu bật NFC trên điện thoại của mình và quét thẻ. Ứng dụng di động thực chất là phần mềm độc hại NGate.
NGate có thể chuyển tiếp dữ liệu NFC từ thẻ của nạn nhân thông qua điện thoại thông minh bị xâm nhập đến điện thoại thông minh của kẻ tấn công, sau đó có thể mô phỏng thẻ. Kết quả là kẻ gian sẽ nhận được thông tin theo thời gian thực và rút tiền từ máy ATM.
May mắn là không có ứng dụng nào chứa NGate được phát hiện trên Google Play nhờ chức năng tự động bảo vệ của Google Play Protect, vốn được bật theo mặc định trên các thiết bị Android có Google Play Services. Google cũng cho biết họ không tìm thấy phần mềm độc hại nào như vậy được liệt kê trong Google Play bởi Play Protect có thể cảnh báo người dùng và chặn các ứng dụng có hành vi độc hại ngay cả khi các ứng dụng đó đến từ nguồn của bên thứ ba. Sáu ứng dụng chứa NGate đã tấn công 3 ngân hàng tại Cộng hòa Séc được phát hiện từ các nguồn không phải Play Store trong khoảng thời gian từ tháng 11/2023 đến tháng 3/2024.