Un nouveau malware Android nommé NGate peut voler de l’argent sur des cartes de paiement en relayant vers l’appareil d’un attaquant les données lues par la puce de communication en champ proche (NFC).
Plus précisément, NGate permet aux attaquants d’imiter les cartes des victimes et d’effectuer des paiements ou des retraits d’espèces non autorisés aux guichets automatiques..
La campagne est active depuis novembre 2023 et est liée à un récent rapport d’ESET sur l’utilisation accrue des applications Web progressives (PWA) et des applications Web avancées pour voler les informations d’identification bancaires des utilisateurs en Tchéquie.
Dans une étude publiée aujourd’hui, la société de cybersécurité affirme que le logiciel malveillant NGate a également été utilisé pendant la campagne dans certains cas pour effectuer un vol direct d’espèces.
Voler des données de carte via une puce NFC
Les attaques commencent par des SMS malveillants, des appels automatisés avec des messages préenregistrés ou des publicités malveillantes pour inciter les victimes à installer une PWA malveillante, puis des WebAPKs, sur leurs appareils.
Ces applications Web sont promues comme des mises à jour de sécurité urgentes et utilisent l’icône officielle et l’interface de connexion de la banque ciblée pour voler les identifiants d’accès des clients.
Ces applications ne nécessitent aucune autorisation lors de leur installation. Au lieu de cela, ils abusent de l’API du navigateur Web dans lequel ils s’exécutent pour obtenir l’accès nécessaire aux composants matériels de l’appareil.
Une fois l’étape de phishing effectuée via le WebAPK, la victime est amenée à installer également NGate via une étape ultérieure de la deuxième phase d’attaque.
Lors de l’installation, le logiciel malveillant active un composant open source appelé « NFCGate » qui a été développé par des chercheurs universitaires pour les tests et l’expérimentation NFC.
L’outil prend en charge les fonctionnalités de capture, de relais, de relecture et de clonage sur l’appareil, et ne nécessite pas toujours que l’appareil soit « rooté » pour fonctionner.
NGate utilise l’outil pour capturer les données NFC des cartes de paiement à proximité immédiate de l’appareil infecté, puis les relayer vers l’appareil de l’attaquant, soit directement, soit via un serveur.
L’attaquant peut enregistrer ces données sous forme de carte virtuelle sur son appareil et rejouer le signal sur les distributeurs automatiques de billets qui utilisent NFC pour retirer de l’argent ou effectuer un paiement dans un système de point de vente (PdV).
Dans une démonstration vidéo, Lukas Stefanko, chercheur en logiciels malveillants chez Eset, montre également comment le composant NFCGate de Gate peut être utilisé pour analyser et capturer les données des cartes dans les portefeuilles et les sacs à dos. Dans ce scénario, un attaquant dans un magasin pourrait recevoir les données via un serveur et effectuer un paiement sans contact à l’aide de la carte de la victime.
Stefanko note que le logiciel malveillant peut également être utilisé pour cloner les identifiants uniques de certaines cartes d’accès NFC et jetons pour entrer dans des zones restreintes.
Acquisition du code PIN de la carte
Un retrait d’espèces à la plupart des guichets automatiques nécessite le code PIN de la carte, dont les chercheurs disent qu’il est obtenu par ingénierie sociale de la victime.
Une fois l’étape de phishing PWA/Web APK terminée, les escrocs appellent la victime, prétendant qu’ils sont un employé de banque, les informant d’un incident de sécurité qui les affecte.
Ils envoient ensuite un SMS avec un lien pour télécharger Gate, soi-disant une application à utiliser pour vérifier leur carte de paiement et leur code PIN existants.
Une fois que la victime scanne la carte avec son appareil et saisit le code PIN pour le « vérifier » sur l’interface de phishing du logiciel malveillant, les informations sensibles sont relayées à l’attaquant, permettant les retraits.
La police tchèque a déjà attrapé l’un des cybercriminels effectuant ces retraits à Prague, mais comme la tactique peut gagner du terrain, elle présente un risque important pour les utilisateurs d’Android.
ESET souligne également la possibilité de cloner des balises d’accès à la zone, des tickets de transport, des badges d’identification, des cartes de membre et d’autres technologies alimentées par NFC, de sorte que la perte directe d’argent n’est pas le seul mauvais scénario.
Si vous n’utilisez pas activement NFC, vous pouvez atténuer le risque en désactivant la puce NFC de votre appareil. Sur Android, accédez à Paramètres > Appareils connectés > Préférences de connexion > NFC et désactivez la bascule.
Si vous avez besoin d’activer NFC à tout moment, examinez attentivement toutes les autorisations des applications et limitez l’accès uniquement à ceux qui en ont besoin; installez uniquement les applications bancaires à partir de la page Web officielle de l’institution ou de Google Play, et assurez-vous que l’application que vous utilisez n’est pas un WebAPK.
Les applications Web sont généralement de très petite taille, sont installées directement à partir d’une page de navigateur, n’apparaissent pas sous « /data/app » comme les applications Android standard et affichent des informations atypiquement limitées sous Paramètres > Applications.