Le malware NGate vole des données bancaires via NFC

La société de sécurité ESET a récemment signalé un logiciel malveillant ciblant principalement les utilisateurs d'Android, qui utilise une attaque d'ingénierie sociale parallèlement au trafic NFC volé, pour voler les données bancaires des utilisateurs. Baptisé Ngate, le malware permet aux attaquants de siphonner l'argent des comptes bancaires des utilisateurs concernés. L'attaque est unique dans la mesure où elle comporte plusieurs éléments mobiles et serait la première vue dans la nature à intégrer l'interception NFC dans le cadre d'une approche à multiples facettes.

Le fonctionnement de l'attaque est relativement simple. Tout commence par convaincre un utilisateur d’installer une fausse version de l’application bancaire de son choix. Cela se fait par le biais de publicités malveillantes ou d'applications Web progressives qui imitent les interfaces officielles de Google Play et sélectionnent des applications bancaires pour inciter les utilisateurs à installer ce qu'ils croient être autre chose, généralement une mise à jour de sécurité critique. Il s'agit d'un processus en deux parties ; la première partie vise à amener les utilisateurs à accorder l'accès à leur matériel et à leurs données bancaires, et la deuxième partie installe le malware lui-même.

Le malware est basé sur un ensemble d'outils open source appelé NFCGate, qui a été développé par des étudiants allemands dans le but de pouvoir analyser ou modifier le trafic NFC sur les appareils hôtes. NGate, en revanche, est une application conçue uniquement pour écouter et transmettre. Lorsque l'appareil infecté est rapproché d'une carte bancaire compatible NFC, ou de toute autre étiquette ou carte compatible NFC, les informations diffusées via NFC sont capturées par l'appareil et relayées aux attaquants. À partir de là, ils peuvent utiliser un appareil Android avec les privilèges root activés pour cloner cette sortie NFC. Cela leur permet de tromper un guichet automatique ou un autre réceptacle NFC en leur faisant croire qu'ils détiennent cette carte ou cette étiquette. En plus des informations bancaires volées dans un premier temps, cela leur permet d'accéder ou de modifier le code PIN d'une victime et de retirer de l'argent.

Cette attaque est active en Tchéquie depuis au moins novembre 2023. Cette tactique semble avoir été utilisée à une échelle limitée, ciblant les clients de trois banques tchèques via six fausses applications. L'une des personnes utilisant le logiciel malveillant pour voler de l'argent a été arrêtée à Prague en mars 2024, avec sur lui l'équivalent approximatif de 6 500 dollars de fonds volés. Son identité et sa nationalité n'ont pas encore été révélées. Le rapport note que le recours à cette attaque semble avoir cessé depuis l'arrestation.

Bien qu'ESET estime que l'activité s'est arrêtée, il ne serait pas trop difficile pour un autre attaquant de reprendre le même ensemble d'outils et la même approche, puis de lui donner un coup de jeune pour un nouveau public. Il convient de noter qu’aucun logiciel contenant ce malware particulier ne peut être trouvé sur le Google Play Store officiel. Google l'a confirmé au média Bleeping Computer, déclarant que Google Play Protect contient des protections contre NGate.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!