ESET Research ontdekt NGate Android-malware
ESET-onderzoekers hebben een crimeware campagne ontdekt die gericht was op klanten van drie Tsjechische banken. De gebruikte malware, die ESET NGate heeft genoemd, heeft de unieke mogelijkheid om gegevens van betaalkaarten van slachtoffers door te sturen via een kwaadaardige app die op hun Android-apparaten is geïnstalleerd, naar de Android-telefoon van de aanvaller die is geroot.
Het primaire doel van deze campagne was om ongeautoriseerde geldautomaatopnames van de bankrekeningen van de slachtoffers mogelijk te maken. Dit werd bereikt door NFC-gegevens (Near Field Communication) van de fysieke betaalkaarten van de slachtoffers via hun gecompromitteerde Android-smartphones met behulp van de NGate Android-malware door te sturen naar het apparaat van de aanvaller. De aanvaller gebruikte deze gegevens vervolgens om pintransacties uit te voeren. Als deze methode mislukte, had de aanvaller een noodplan om geld over te maken van de rekeningen van de slachtoffers naar andere bankrekeningen.
“We hebben deze nieuwe NFC relay-techniek nog niet eerder gezien in Android-malware. De techniek is gebaseerd op een tool genaamd NFCGate, ontworpen door studenten aan de Technische Universiteit van Darmstadt, Duitsland, om NFC-verkeer op te vangen, te analyseren of te wijzigen; daarom hebben we deze nieuwe malwarefamilie NGate genoemd,” zegt Lukáš Štefanko, die de nieuwe dreiging en techniek ontdekte.
Slachtoffers downloadden en installeerden de malware nadat ze in de waan waren gebracht dat ze communiceerden met hun bank en dat hun apparaat was gecompromitteerd. In werkelijkheid hadden de slachtoffers zonder het te weten hun eigen Android-apparaten gecompromitteerd door eerder een app te downloaden en te installeren via een link in een misleidend sms-bericht over een mogelijke belastingaangifte.
Dreigingsactor
Het is belangrijk om te weten dat NGate nooit beschikbaar was in de officiële Google Play store.
De NGate Android-malware is gerelateerd aan de phishing activiteiten van een dreigingsactor die sinds november 2023 actief is in Tsjechië. ESET gelooft echter dat deze activiteiten werden stopgezet na de arrestatie van een verdachte in maart 2024. ESET Research merkte voor het eerst op dat de dreigingsactor zich richtte op klanten van drie Tsjechische banken, vanaf eind november 2023. De malware werd afgeleverd via kortstondige domeinen die zich voordeden als legitieme bankwebsites of officiële apps voor mobiel bankieren in de Google Play Store. Deze frauduleuze domeinen werden geïdentificeerd door middel van de ESET Brand Intelligence Service, waarmee dreigingen die gericht zijn op het merk van een klant in de gaten worden gehouden. In dezelfde maand rapporteerde ESET de bevindingen aan haar klanten.
De aanvallers maakten gebruik van het potentieel van progressieve webapps (PWA's), zoals ESET in een eerdere publicatie rapporteerde, om later hun strategieën te verfijnen door gebruik te maken van een geavanceerdere versie van PWA's die bekend staan als WebAPK's. Uiteindelijk monde de operatie uit in de inzet van NGate malware.
In maart 2024 ontdekte ESET Research dat NGate Android-malware beschikbaar kwam op dezelfde distributiedomeinen die eerder werden gebruikt om phishingcampagnes met schadelijke PWA's en WebAPK's te faciliteren. Na installatie en opening toont NGate een valse website die vraagt om de bankgegevens van de gebruiker, die vervolgens naar de server van de aanvaller worden gestuurd.
Smartphones
Naast de phishingmogelijkheden bevat NGate malware ook een tool genaamd NFCGate, die wordt misbruikt om NFC-gegevens door te sturen tussen twee apparaten - het apparaat van een slachtoffer en het apparaat van de dader. Sommige van deze functies werken alleen op gerootte apparaten, maar in dit geval is het doorsturen van NFC-verkeer ook mogelijk vanaf niet-gerootte apparaten. NGate vraagt zijn slachtoffers ook om gevoelige informatie in te voeren, zoals hun bankklant-ID, geboortedatum en de PIN-code van hun bankpas. Het vraagt hen ook om de NFC-functie op hun smartphones in te schakelen. Vervolgens worden de slachtoffers verzocht om hun betaalkaart aan de achterkant van hun smartphone te plaatsen totdat de kwaadaardige app de kaart herkent.
In aanvulling op de techniek die wordt gebruikt door de NGate malware, kan een aanvaller met fysieke toegang tot betaalkaarten deze mogelijk kopiëren en nabootsen. Deze techniek zou kunnen worden gebruikt door een aanvaller die probeert kaarten te lezen via onbeheerde portemonnees, portefeuilles, rugzakken of smartphonehoesjes waarin kaarten zitten, met name op openbare en drukke plaatsen. Dit scenario is echter over het algemeen beperkt tot het doen van kleine contactloze betalingen bij betaalterminals.
“Om bescherming tegen dergelijke complexe aanvallen te garanderen, moeten bepaalde proactieve stappen worden genomen tegen tactieken als phishing, social engineering en Android-malware. Dit betekent het controleren van URL's van websites, het downloaden van apps uit officiële winkels, het geheim houden van pincodes, het gebruik van beveiligingsapps op smartphones, het uitschakelen van de NFC-functie wanneer deze niet nodig is, het gebruik van beschermende hoesjes of het gebruik van virtuele kaarten die beveiligd zijn met authenticatie,” adviseert Štefanko.
Voor meer informatie over de nieuwe NFC bedreiging, lees de blogpost “NGate Android malware relays NFC traffic to steal cash” op WeLiveSecurity.com.