发现一种可以窃取信用卡数据的安卓恶意软件

NGate 是一款新型且极其危险的安卓恶意软件，能够以复杂的方式窃取支付卡信息。它利用近场通信 (NFC) 技术，悄无声息地复制支付卡信息并直接传输给犯罪分子，将您的手机变成一台自动取款机。

这种恶意软件会让犯罪分子利用用户在 ATM 机和 POS 机上的数据，在收银台取款或支付购物款项。

网络安全公司 ESET（斯洛伐克）最近的研究揭露了一场自 2023 年 11 月以来持续不断的攻击活动，黑客利用 PWA 和 WebAPK 等高级 Web 应用程序窃取用户的银行凭证，直接威胁捷克共和国用户的资产。

网络安全公司 ESET 在 8 月 22 日发布的一份报告中披露了一项令人震惊的发现：NGate 恶意软件不仅会收集信息，还会直接从受害者的银行账户中窃取资金。

恶意软件通过NFC芯片窃取银行卡数据

攻击始于各种复杂的伎俩，从虚假消息、诈骗电话到恶意广告，诱骗受害者下载和安装恶意网络应用程序，包括 PWA 和 WebAPK。

这些恶意网络应用程序巧妙地伪装成紧急安全更新，完全模仿银行的官方界面和徽标，以诱骗用户提供账户信息。

虽然这些应用程序在安装时不需要任何访问权限，但它们会悄悄利用浏览器应用程序编程接口 (API) 中的漏洞，在用户完全不知情的情况下窃取设备硬件组件的控制权。

威胁远不止于此。一旦受害者被诱骗安装了 WebAPK，就会感染 NGate 恶意软件。更令人担忧的是，NGate 利用了最初为安全研究而开发的 NFCGate 工具来实施恶意活动，将原本的安全防护工具变成了攻击武器。

NFCGate 安全工具提供多种功能，包括捕获、转发、重放和复制设备上的数据，且无需侵入根系统。这使得用户可以轻松使用该工具，而无需担心风险。

NGate恶意软件利用此工具入侵受害者的设备，窃取附近NFC支付卡的敏感数据，并通过地下服务器网络将其秘密传输回攻击者。

攻击者可以轻易地将窃取的数据转换成虚拟卡，然后使用该卡在自动取款机取款或在销售点进行支付，从而对受害者造成直接损失。

在一段演示视频中，ESET 安全专家 Lukas Stefanko 展示了 NFCGate 的危险功能，它可以轻松扫描并窃取受害者钱包或背包中银行卡的数据。攻击者甚至可以在商店通过服务器接收这些数据，并使用受害者的银行卡进行非接触式支付。

不仅如此，斯特凡科还警告说，NFCGate 还可以复制一些 NFC 门禁卡和令牌的唯一标识符，从而进入受限区域。

黑客如何获取受害者的银行卡密码？

在大多数 ATM 机上取款需要输入银行卡密码，研究人员表示，可以通过入侵受害者的银行卡来获取密码。

骗子成功诱骗受害者安装虚假应用程序后，会直接打电话冒充银行职员，进一步提高可信度。他们用专业的语气和准确的个人信息，精心营造出受害者账户出现问题的完美情境。

然后，攻击者使用精心构造的短信，向受害者发送伪装成安全验证应用程序的恶意链接，以进一步窃取重要信息。

当受害者使用自己的设备刷卡并在恶意软件的钓鱼界面上输入 PIN 码进行验证时，敏感信息就会被传递给攻击者，从而使攻击者能够提取资金。

捷克警方利用这种方法捣毁了一个犯罪团伙，他们在捷克首都布拉格的一台自动取款机上逮捕了一名团伙成员，当时该团伙成员正在取款。

ESET警告称，风险不仅限于现金损失。NFCGate还能克隆多种卡片，包括门禁卡、交通票、身份证、会员卡和其他支持NFC功能的卡片，这会造成更为严重的后果。

提高设备安全性的一个简单方法是在不需要时关闭 NFC 功能。具体操作方法是：在安卓手机上依次进入“设置”>“连接”>“NFC”，然后将其关闭。这有助于降低信息被盗的风险。

如果您需要一直启用 NFC，请仔细检查所有应用程序权限，并将访问权限限制在必要的应用程序范围内；仅从银行机构的官方网站或 Google Play 安装银行应用程序，并确保您使用的应用程序不是 WebAPK。

针对这一发现，谷歌发言人表示，由于谷歌Play Protect的自动保护功能（该功能在安装了谷歌Play服务的安卓设备上默认启用），目前尚未在谷歌Play应用商店中检测到任何包含NGate的应用。

谷歌还表示，由于 Play Protect 能够警告用户并阻止具有恶意行为的应用（即使这些应用来自第三方），因此在 Google Play 中没有发现此类恶意软件。