Les chercheurs d’ESET ont identifié une nouvelle opération malveillante ciblant les clients de trois banques tchèques. Le logiciel malveillant, baptisé NGate, capable de transmettre les données des cartes de paiement des victimes depuis leurs appareils Android infectés vers le téléphone Android de l'attaquant. L'objectif principal de cette opération est de permettre des usages frauduleux des cartes bancaires des victimes en exploitant les données NFC des cartes, donc le paiement sans contact.

Points notables de cet article :

  • Une nouvelle campagne d'attaque en Tchéquie combine ingénierie sociale, hameçonnage et malware Android.
  • Opérant depuis novembre 2023, les attaquants ont perfectionné leurs techniques en mars 2024 avec le déploiement du malware NGate.
  • Cette innovation permet de cloner les données NFC des cartes de paiement et de les relayer sur l'appareil d'un attaquant.
  • C'est la première observation d'un tel malware Android capable d'exploiter cette technique sans nécessiter le rootage des appareils des victimes.

Les victimes ont été piégées par une manipulation psychologique sophistiquée. Croyant communiquer avec leur banque au sujet d'une possible compromission de leur appareil, elles ont en réalité été amenées à télécharger et installer le logiciel malveillant sur leurs appareils Android. Le vecteur d'infection était un lien contenu dans un SMS frauduleux, prétendant concerner une déclaration d'impôts potentielle. Il est important de noter que NGate n'a jamais été disponible sur le Google Play Store officiel.

Le logiciel malveillant Android NGate est associé à un acteur malveillant opérant en République tchèque depuis novembre 2023. Notons que ses activités semblent avoir été interrompues suite à une arrestation en mars 2024. ESET Research a identifié trois banques tchèques majeures ciblées. Le malware était distribué via des sites éphémères imitant des plateformes bancaires légitimes ou des applications officielles du Google Play Store. Ces sites frauduleux ont été repérés par le service ESET Threat Intelligence, qui a promptement informé ses clients de la menace.

Les attaquants ont d'abord exploité les applications web progressives (PWA), comme précédemment découvert par ESET, avant d'évoluer vers une version plus avancée appelée WebAPK. Cette évolution a finalement abouti au déploiement du logiciel malveillant NGate, marquant une étape significative dans leur stratégie d'attaque.

Au-delà de ses capacités d’hameçonnage, NGate intègre un outil nommé NFCGate, détourné pour relayer des données NFC entre l'appareil de la victime et celui de l'attaquant. Bien que certaines fonctionnalités nécessitent un appareil rooté, le relais NFC fonctionne également sur des appareils non rootés. NGate incite les victimes à fournir des informations sensibles et à activer le NFC sur leur smartphone. Les utilisateurs sont ensuite invités à placer leur carte de paiement contre leur téléphone pour que l'application malveillante la reconnaisse. Cette technique pourrait potentiellement être exploitée par des attaquants pour copier et émuler des cartes de paiement, notamment dans des lieux publics bondés, bien que cela se limite généralement à de petits paiements sans contact.

Consultez l’article en entier (en anglais) en suivant ce lien : NGate Android malware relays NFC traffic to steal cash