Az NGate nevet kapta az az új androidos kártevő, ami az NFC-chipet használja arra, hogy kártyaadatokat lopjon. A támadás kapcsolható a progresszív webalkalmazásokat (PWA) érintő, 2023 novembere óta aktív kiberbűnözői kampányhoz - írja a Bleeping Computer cikke nyomán a hvg.hu.

Az NGate az NFC-chipből nyeri ki az adatokat, és így képes utánozni az áldozatok bankkártyáját.

A támadás első lépése egy csalárd hívás (valamilyen előre felvett beszéddel), üzenet vagy Facebook-hirdetés, melyekkel egy adathalászatra használt PWA webalkalmazás telepítésére próbálják rávenni az áldozatot.

A csalók a bank nevét és arculati elemeit használva jellemzően azt állítják, hogy a kiszemelt áldozat banki alkalmazása elavult, és a saját biztonságuk érdekében újat kell telepíteni. Így kerülhet az eszközre az app, ami a felhasználó tudta nélkül számos dologhoz hozzáfér, ugyanis a PWA-k nem kérnek engedélyt, mivel a böngészőkre támaszkodnak, amik viszont hozzáférnek csomó mindenhez.

A második fázisban igyekeznek rávenni az áldozatot egy normál alkalmazás telepítésére, ami aktiválja a támadás következő elemét:

a kártevő aktivál egy olyan nyílt forráskódú kiegészítőt, amit egyetemi kutatók fejlesztettek ki az NFC-chip tesztelésére, valamint kísérletezéshez.

Ezután az NGate-tel fertőzött mobiltelefon meg tudja szerezni a környezetében lévő bankkártyák tokenjeit, amiket továbbít a támadóknak. Ezekkel a tokenekkel az érintett bankkártyák utánozhatók, vagyis lehet velük fizetni online vagy boltban, illetve érintős azonosítással ATM-ből is lehet velük pénzt felvenni.

A bankautomatás készpénzfelvételhez ugyanakkor még így is szüksége van a támadónak egy PIN-kódra, de a csalók erre is gondolnak:

ha már települt az áldozat mobiljára az adathalász app, egyes esetekben például felhívják őt a bank nevében, mondván érintett egy biztonsági incidensben, majd kapnak egy SMS-t, ami viszont egy kártevő telepítésére kéri a gyanútlan áldozatot.

Az így telepített appnak ellenben a látszat ellenére semmi köze az adott pénzintézethez, és ha valaki "ellenőrzés" címén megadja a kártyaadatait PIN-kóddal együtt, tulajdonképpen önként ad lehetőséget a támadóknak, hogy meglopják őt.

Mint írják, a cseh rendőrség már elkapta az egyik elkövetőt, ám mivel a csalás több országban zajlik párhuzamosan, így bizonyára többen is állak mögötte. Magyarországon az OTP Bank nevében támadnak.

A kiberbiztonsági szakértők azt tanácsolják, hogy csak megbízható forrásból, a Play Áruházból szabad alkalmazásokat letölteni, és arra is érdemes ügyelni, hogy mely appoknak adjuk meg a hozzáférést az NFC-chiphez. Ha nem használjuk aktívan ezt a funkciót, érdemes kikapcsolva tartani. A Google által adott információ szerint a Play Protect már képes felismerni az NGate kártevőt, ez pedig jó eséllyel meggátolja a további terjedését.