NGate - Phần mềm độc hại mới trên Android đánh cắp dữ liệu ngân hàng và thông tin thanh toán của người dùng
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại Android mới có thể sao chép dữ liệu thanh toán không tiếp xúc (Contactless payment) của nạn nhân từ thẻ tín dụng và thẻ ghi nợ vật lý sang thiết bị do kẻ tấn công kiểm soát nhằm mục đích thực hiện các hoạt động gian lận.
1. Thông tin liên quan tới phần mềm độc hại NGate
Phần mềm độc hại NGate Android có liên quan đến các hoạt động lừa đảo từ một hacker hoạt động ở Séc từ tháng 11 năm 2023. Tuy nhiên các hoạt động này đã bị tạm dừng sau khi một nghi phạm bị bắt giữ vào tháng 3 năm 2024.
Phần mềm độc hại này được phân phối thông qua domain mạo danh các trang web ngân hàng hoặc mạo danh cửa hàng Google Play để tải ứng dụng, như Hình 1 dưới đây:
Hình 1. Trang web ngân hàng giả mạo (trái) và trang web Google Play giả mạo (phải)
Trong quá trình điều tra, đã xác định được sáu ứng dụng NGate khác nhau nhắm mục tiêu cụ thể đến khách hàng của ba ngân hàng ở Séc trong khoảng thời gian từ tháng 11 năm 2023 đến tháng 3 năm 2024.
Thậm chí, trong một cuộc truy bắt, cảnh sát Séc đã bắt giữ một thanh niên 22 tuổi đang ăn trộm tiền từ các máy ATM ở Praha. Khi bị bắt, nghi phạm sở hữu 160.000 Czech koruna, tương đương khoảng 6.500 USD. Theo cảnh sát Séc, số tiền thu hồi được từ nghi phạm chỉ là một phần nhỏ, vì vậy có khả năng tổng số tiền mà hacker này đánh cắp có thể còn cao hơn đáng kể.
2. Phân tích các kỹ thuật kẻ tấn công sử dụng
Progressive web apps
Đầu tiên, các trang web giả mạo này đã sử dụng công nghệ PWA. Công nghệ này cho phép người dùng cài đặt ứng dụng thông qua trình duyệt; việc cài đặt có thể được thực hiện tự động thông qua thông báo pop-up hoặc thủ công bằng cách chọn "Install app" từ menu của trình duyệt.
Trên Android, các trình duyệt được hỗ trợ tính năng này bao gồm Chrome, Firefox, Edge và Opera. Sau khi cài đặt, một biểu tượng mới với logo nhỏ của trình duyệt được thêm vào màn hình chính trên điện thoại, nó sẽ đóng vai trò như một shortcut chứa link tới trang web như hình dưới đây:
Hình 2. Ví dụ về biểu tượng PWA (trái) và biểu tượng ứng dụng Android native (phải)
Nếu một PWA được cài đặt từ một trang web phishing, biểu tượng của nó có thể giả mạo giống một ứng dụng ngân hàng hợp pháp, với một logo trình duyệt nhỏ thêm vào. Khi khởi chạy PWA độc hại này, một trang web phishing toàn màn hình được hiển thị yêu cầu thông tin đăng nhập ngân hàng của người dùng.
WebAPKs
Sau đó, với mục đích cải tiến kịch bản tấn công, hacker sử dụng một loại PWA tiên tiến hơn được gọi là WebAPK. WebAPKs là các ứng dụng Android tự động được tạo bởi trình duyệt Chrome khi người dùng thêm một PWA vào màn hình chính trên thiết bị Android của họ.
Để phân biệt giữa hai loại này, PWAs là các ứng dụng được xây dựng bằng công nghệ web, trong khi WebAPKs sử dụng công nghệ để tích hợp PWAs như là các ứng dụng Android native. Điểm khác biệt nữa ở WebAPKs là chúng trông giống các ứng dụng Android hơn so với PWAs, vì biểu tượng của chúng không có logo trình duyệt nhỏ ở góc. Điều này có thể khiến người dùng nhầm tưởng rằng một WebAPK độc hại là một ứng dụng hợp pháp, như Hình 3:
Hình 3. Biểu tượng của ứng dụng hợp pháp (trái), WebAPK độc hại (giữa) và PWA (phải)
Người dùng có thể tải xuống và cài đặt ứng dụng WebAPKs giả mạo từ các trang web phishing, thay vì chỉ là một shortcut PWA. WebAPK yêu cầu cài đặt thủ công. Tuy nhiên, người dùng không được thông báo về việc cấp cho ứng dụng những quyền gì vì đây không phải là một ứng dụng thông thường. Do đó, người dùng có thể không biết được rằng họ đang cài đặt một ứng dụng từ một nguồn không đáng tin cậy.
Hình dưới đây cho thấy ví dụ khi người dùng truy cập vào một trang web phishing và được yêu cầu cài đặt một WebAPK độc hại:
Hình 4. Trang web yêu cầu cập nhật và cài đặt WebAPK độc hại
3. Phân tích phần mềm độc hại NGate
Vào ngày 6/3/2024, các nhà nghiên cứu bảo mật đã phát hiện ra phần mềm độc hại NGate xuất hiện trên các domain mà trước đấy được sử dụng để thực hiện các chiến dịch phishing, phân phối PWAs và WebAPKs độc hại.
Sau khi được cài đặt và khởi chạy, NGate hiển thị một trang web giả mạo yêu cầu thông tin ngân hàng của người dùng, thông tin này sau đó được gửi đến máy chủ của kẻ tấn công.
Ngoài khả năng phishing, phần mềm độc hại NGate còn đi kèm với một công cụ có tên NFCGate, được sử dụng để truyền dữ liệu NFC giữa hai thiết bị – thiết bị của nạn nhân và của kẻ tấn công. Chức năng chính của NFCGate là truyền tín hiệu NFC từ một thiết bị Android qua máy chủ đến một thiết bị Android khác để có thể mô phỏng lại nó, như minh họa trong Hình 5:
Hình 5. Kiến trúc NFCGate (nguồn: github.com/nfcgate/nfcgate/wiki)
Hacker có thể sao chép dữ liệu NFC từ thẻ ngân hàng của nạn nhân và gửi qua máy chủ đến thiết bị Android của kẻ tấn công. Điều này cho phép hacker giả lập thẻ ngân hàng của nạn nhân trên thiết bị của chúng để thực hiện thanh toán và rút tiền từ các máy ATM sử dụng NFC.
Kịch bản tấn công
Kịch bản tấn công bắt đầu bằng việc hacker sẽ gửi tin nhắn SMS cho các nạn nhân về việc hoàn thuế, kèm theo một liên kết đến trang web phishing giả mạo các ngân hàng. Những liên kết này dẫn đến các PWAs độc hại. Khi nạn nhân cài đặt ứng dụng và nhập thông tin đăng nhập, kẻ tấn công có được quyền truy cập vào tài khoản của nạn nhân.
Sau đó, kẻ tấn công gọi điện cho nạn nhân, giả làm nhân viên ngân hàng. Nạn nhân được thông báo rằng tài khoản của họ đã bị xâm phạm. Để bảo vệ tài khoản, nạn nhân được yêu cầu thay đổi mã PIN và xác minh thẻ ngân hàng của mình thông qua phần mềm độc hại NGate. Một đường link để tải xuống NGate sẽ được gửi qua SMS. Trong ứng dụng NGate, nạn nhân sẽ nhập mã PIN cũ của họ để tạo mã PIN mới và đặt thẻ của họ ở mặt sau điện thoại để xác minh hoặc áp dụng thay đổi.
Vì kẻ tấn công đã có quyền truy cập vào tài khoản của nạn nhân, họ có thể đơn giản chuyển tiền sang tài khoản khác. Tuy nhiên, việc sử dụng NGate giúp kẻ tấn công đánh cắp tiền của nạn nhân mà không để lại dấu vết dẫn về tài khoản ngân hàng của kẻ tấn công. Attack chain được trình bày trong Hình 6 dưới đây:
Hình 6. Attack chain của chiến dịch tấn công
4. Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch lừa đảo này:
Kiểm tra tính xác thực của trang web: Xem xét kỹ URL để đảm bảo trang web đang truy cập không phải là phiên bản giả mạo của một trang web chính thức.
Chỉ cài đặt ứng dụng từ các nguồn chính thức: Biện pháp này giúp giảm đáng kể rủi ro cài đặt phần mềm độc hại từ các nguồn không đáng tin cậy.
Giữ bí mật mã PIN của thẻ thanh toán.
Sử dụng ứng dụng bảo mật trên thiết bị di động: Các ứng dụng bảo mật này cung cấp thêm một lớp bảo vệ bằng cách liên tục quét và giám sát các mối đe dọa.
Tắt chức năng NFC trên thiết bị khi không cần thiết: Điều này giúp ngăn chặn bất kỳ truy cập trái phép hoặc chuyển tiếp dữ liệu nào qua NFC.
5. IOCs liên quan đến NGate
Files
SHA-1 | Filename | Detection | Description |
7225ED2CBA9CB6C038D8 | csob_smart_klic.apk | Android/Spy.NGate.B | NGate Android malware. |
66DE1E0A2E9A421DD16B | csob_smart_klic.apk | Android/Spy.NGate.C | NGate Android malware. |
DA84BC78FF2117DDBFDC | george_klic.apk | Android/Spy.NGate.C | NGate Android malware. |
E7AE59CD44204461EDBD | george_klic-0304.apk | Android/Spy.NGate.C | NGate Android malware. |
103D78A180EB973B9FFC | rb_klic.apk | Android/Spy.NGate.A | NGate Android malware. |
11BE9715BE9B41B1C852 | rb_klic.apk | Android/Spy.NGate.C | NGate Android malware. |
Network
IP | Domain | Hosting provider | First seen | Details |
91.222.136[.]153 | raiffeisen-cz[.]eu | Hosting Ukraine LTD | 2024‑03‑05 | NGate distribution website. |
104.21.7[.]213 | client.nfcpay.workers[.]dev | Cloudflare, Inc. | 2024‑03‑03 | Phishing website. |
172.187.98[.]211 | N/A | Divya Quamara | 2024‑04‑07 | NGate C&C server. |
185.104.45[.]51 | app.mobil-csob-cz[.]eu | Hosting Ukraine LTD | 2024‑03‑12 | NGate distribution website. |
185.181.165[.]124 | nfc.cryptomaker[.]info | Serverius | 2024‑02‑21 | NGate C&C server. |