ESET Research ontdekte een crimeware-campagne die zich richtte op klanten van drie belangrijke Tsjechische banken. De gebruikte malware, die ESET NGate noemde, heeft de unieke capaciteit om de gegevens van bankkaarten van slachtoffers door te sturen aan de geroote Android-telefoon van de aanvaller via een kwaadaardige app die op hun Android-toestel geïnstalleerd is.
· Aanvallers combineerden standaard kwaadaardige technieken – social engineering, phishing en Android-malware – in een nieuw aanvalsscenario. ESET denkt dat berichten die zich voordeden als Tsjechische banken werden verzonden naar willekeurige telefoonklanten, en dat zo klanten van drie belangrijke banken werden betrapt.
· Volgens gegevens van ‘ESET Brand Intelligence Service’ was de groep sinds november 2023 actief in Tsjechië en vanaf maart 2024 verbeterde de techniek van de groep door het gebruik van de NGate Android-malware.
· Aanvallers waren in staat om met NGate NFC-gegevens van de fysieke bankkaarten van slachtoffers te klonen en deze gegevens door te sturen naar het toestel van een aanvaller, die dan de originele kaart emuleerde en geld kon opnemen aan een geldautomaat.
· Het is de eerste keer dat we Android-malware zo ‘in the wild’ zagen gebruiken en zonder dat het toestel van de slachtoffers gestolen was
BRATISLAVA, 22 augustus 2024 — ESET Research ontdekte een crimeware-campagne die zich richtte op klanten van drie belangrijke Tsjechische banken. De gebruikte malware, die ESET NGate noemde, heeft de unieke capaciteit om de gegevens van bankkaarten van slachtoffers door te sturen aan de geroote Android-telefoon van de aanvaller via een kwaadaardige app die op hun Android-toestel geïnstalleerd is. Deze campagne had als doel ongeautoriseerde geldopnames van de bankrekeningen van de slachtoffers mogelijk te maken. Dit kon door NFC-gegevens (Near Field Communication) van de fysieke bankkaarten van de slachtoffers door te sturen door het gebruik van NGate Android-malware, via hun gecompromitteerde Android-smartphones, naar het toestel van de aanvaller.
“We hebben deze nieuwe NFC-techniek nooit eerder in Android-malware gezien. De techniek is gebaseerd op een tool NFCGate genaamd, ontworpen door studenten aan de Technische Universiteit van Darmstadt (Duitsland), om NFC-verkeer vast te leggen, te analyseren of te wijzigen. We hebben deze nieuwe malwarefamilie NGate genoemd,” zegt Lukáš Štefanko, die bij ESET de nieuwe bedreiging en techniek ontdekte.
Nadat ze waren misleid, downloadden en installeerden slachtoffers de malware. Ze dachten dat ze met hun bank communiceerden en dat hun toestel gecompromitteerd was. In werkelijkheid hadden ze onbewust hun eigen Android-toestel gecompromitteerd door voordien een app te downloaden en te installeren via een link in een misleidend sms-bericht over een mogelijke belastingaangifte.
pHet is belangrijk te weten dat NGate nooit beschikbaar was in de officiële Google Play Store.
NGate Android-malware is gerelateerd aan de phishingaanvallen van een dreigingsactor die sinds november 2023 actief is in Tsjechië. ESET denkt dat deze activiteiten in maart 2024 zijn opgeschort na de arrestatie van een verdachte. ESET Research had eerst opgemerkt dat de dreigingsactor zich vanaf eind november 2023 op klanten richtte van belangrijke Tsjechische banken. De malware werd geleverd via kortstondige domeinen die zich voordeden als legitieme bankwebsites of officiële mobiele bankapps die beschikbaar zijn in de Google Play Store. Deze frauduleuze domeinen werden via de ESET Brand Intelligence Service geïdentificeerd. Deze houdt toezicht op dreigingen die gericht zijn op het merk van een klant. In dezelfde maand rapporteerde ESET deze bevindingen aan zijn klanten.
Zoals ESET reeds meldde, maakten de aanvallers gebruik van het potentieel van progressieve webapps (PWA’s) om hun strategieën te verfijnen met een geavanceerdere versie van PWA’s, bekend als WebAPK’s. Deze actie bereikte haar hoogtepunt met de implementatie van NGate-malware.
In maart 2024 ontdekte ESET Research dat NGate Android-malware beschikbaar was op dezelfde distributiedomeinen die eerder werden gebruikt voor phishingcampagnes die kwaadaardige PWA’s en WebAPK’s leverden. Na zijn installatie gebruikt Gate een nepwebsite die de bankgegevens van de gebruiker opvraagt en ze dan naar de server van de aanvaller doorstuurt.
Naast de phishing-mogelijkheden, bevat de NGate-malware ook NFCGate, een tool die misbruikt wordt om NFC-gegevens door te geven tussen twee toestellen: dat van de slachtoffer en dat van de dader. Sommige functies werken enkel op geroote toestellen maar in dit geval was het ook mogelijk om NFC-verkeer door te sturen vanaf niet-geroote toestellen. NGate vraagt slachtoffers ook om gevoelige informatie in te voeren, zoals hun bank-ID, geboortedatum en de pincode van hun bankkaart. Het vraagt hen ook om de NFC-functie op hun smartphones in te schakelen. Daarna krijgen slachtoffers de opdracht om hun bankkaart op de achterkant van hun smartphone te leggen tot de kwaadaardige app de kaart herkent.
Naast de techniek die door de NGate-malware gebruikt wordt, kan een aanvaller met fysieke toegang tot bankkaarten deze kopiëren en nabootsen. Deze techniek kan gebruikt worden door een aanvaller die probeert kaarten te lezen via onbeheerde portemonnees, portefeuilles, rugzakken of smartphonehoesjes waarin kaarten zitten, en dit op openbare en drukke plaatsen. Dit beperkt zich dan meestal tot kleine contactloze betalingen aan terminals.
“Om bescherming te bieden tegen die complexe aanvallen, moeten bepaalde proactieve stappen tegen tactieken als phishing, social engineering en Android-malware genomen worden. Men moet URL’s van websites controleren, apps downloaden van officiële winkels, pincodes geheim houden, beveiligingsapps op smartphones gebruiken, de NFC-functie uitschakelen als deze niet nodig is, beschermende hoesjes of virtuele kaarten gebruiken die zijn beschermd door authenticatie”, adviseert Štefanko.
Voor meer technische informatie over de nieuwe NFC-dreiging, bekijk de blog “NGate Android malware relays NFC traffic to steal cash” op www.welivesecurity.com. Volg ook ESET Research on Twitter (today known as X) voor de nieuwste info over ESET Research.
Meer lezen