关于“新的NGate Android恶意软件使用NFC芯片窃取信用卡数据”事件的分析

　　一、基本内容

　　一种名为NGate的新型Android恶意软件可以通过将近场通信(NFC)芯片读取的数据中继到攻击者的设备来从支付卡中窃取资金。

　　具体来说，NGate使攻击者能够模拟受害者的卡，进行未经授权的支付或从ATM机中提取现金。。

　　该活动自2023年11月以来一直很活跃，并与ESET最近的一份报告有关，该报告称，捷克共和国越来越多地使用渐进式网络应用程序(PWA)和高级WebAPK来窃取用户的银行凭证。

　　在今天发表的研究中，这家网络安全公司表示，在某些情况下，NGate恶意软件也被用于直接盗窃现金。

　　二、通过NFC芯片窃取卡数据

　　这些攻击始于恶意短信、带有预先录制的消息的自动通话，或诱骗受害者在其设备上安装恶意PWA和后来的WebAPK的恶意广告。

　　这些网络应用程序被宣传为紧急安全更新，并使用目标银行的官方图标和登录界面来窃取客户访问凭据。

　　ESET的恶意软件研究员展示了如何使用NGate中的NFCGate组件扫描和捕获钱包和背包中的卡数据。在这种情况下，商店的攻击者可以通过服务器接收数据，并使用受害者的卡进行非接触式支付。

　　恶意软件还可以用于克隆一些NFC访问卡和令牌的唯一标识符，以进入受限区域。

　　三、获取卡PIN

　　在大多数自动取款机上提取现金需要卡的PIN码，研究人员表示，这是通过对受害者进行社会工程获得的。

　　在完成PWA/WebAPK网络钓鱼步骤后，骗子会打电话给受害者，假装他们是银行员工，告知他们影响他们的安全事件。

　　然后，他们发送一条带有下载NGate链接的短信，NGate是一款用于验证现有支付卡和PIN的应用程序。

　　一旦受害者用他们的设备扫描卡并输入PIN以在恶意软件的钓鱼界面上“验证”它，敏感信息就会被转发给攻击者，从而实现提款。

　　它对Android用户构成了重大风险。

　　ESET还强调了克隆区域访问标签、交通票、身份证、会员卡和其他NFC技术的可能性，因此直接的金钱损失并不是唯一的糟糕情况。

　　如果您没有积极使用NFC，可以通过禁用设备的NFC芯片来降低风险。在Android上，前往“设置”、“已连接设备”、“连接首选项”、“NFC”，然后将开关切换到关闭位置。

　　如果您需要始终激活NFC，请仔细检查所有应用程序权限，并将访问权限仅限于需要的人;仅从该机构的官方网页或Google Play安装银行应用程序，并确保您使用的应用程序不是WebAPK。

　　WebAPK通常体积很小，直接从浏览器页面安装，不像标准的Android应用程序那样出现在“/data/app”下，并在Settings.apps下显示异常有限的信息。

　　四、相关发声

　　更新8月23日谷歌发言人告知，谷歌Play Protect，Android的默认恶意软件扫描程序，检测到NGate：

　　“根据我们目前的检测，在Google Play上没有发现包含此恶意软件的应用程序。

　　Android用户会自动受到Google Play Protect的保护，以防止已知版本的此恶意软件，默认情况下，在安装了Google Play Services的Android设备上，该保护处于打开状态。

　　Google Play Protect可以警告用户或阻止已知表现出恶意行为的应用程序，即使这些应用程序来自Play以外的来源。

　　五、应对策略

　　为了保护自己免受NGate恶意软件的威胁，建议采取以下措施：首先，禁用设备的NFC功能，这可以在“设置”中的“已连接设备”下完成。其次，确保只从官方渠道(如Google Play)下载应用，并仔细检查所有应用程序的权限，避免安装可疑的PWA和WebAPK。定期使用Google Play Protect等安全工具扫描设备，确保系统和应用程序保持最新，以抵御潜在的恶意软件威胁。