发现可窃取信用卡数据的 Android 恶意软件

NGate 是一款新型且极其危险的 Android 恶意软件，能够以复杂的方式窃取支付卡信息。该恶意软件利用近场通信 (NFC) 技术，悄无声息地复制支付卡信息，并将其直接传输给犯罪分子，将您的手机变成 ATM。

该恶意软件允许犯罪分子使用 ATM 和 POS（销售点）机器上的用户数据来提取现金或在收银机上支付购买费用。

网络安全公司ESET（斯洛伐克）最近的研究揭露了一场自2023年11月以来持续的攻击活动，黑客利用PWA和WebAPK等高级网络应用程序窃取用户的银行凭证，直接威胁捷克共和国用户的资产。

网络安全公司ESET在8月22日发布的一份报告中披露了一个令人震惊的发现：NGate恶意软件不仅收集信息，还用于直接从受害者的银行账户中窃取资金。

恶意软件通过 NFC 芯片窃取卡数据

攻击始于各种复杂的伎俩，从虚假信息、诈骗电话到恶意广告，诱使受害者下载和安装恶意网络应用程序，包括 PWAs 和 WebAPKs。

这些恶意网页应用程序巧妙地伪装成紧急安全更新，完全模仿银行的官方界面和标识，以诱骗用户提供账户信息。

尽管这些应用程序在安装时不需要任何访问权限，但它们会在用户完全不知情的情况下，悄悄利用浏览器应用程序编程接口 (API) 中的漏洞来窃取设备硬件组件的控制权。

威胁远不止于此。一旦受害者被诱骗安装 WebAPK，他们就会感染 NGate 恶意软件。令人担忧的是，NGate 利用一款原本用于安全研究的工具 NFCGate 来实施恶意活动，将这款保护工具变成了攻击武器。

NFCGate 安全工具提供了丰富的功能，包括捕获、转发、重放和复制设备上的数据，而无需干扰根系统。这使得用户可以轻松使用该工具，而无需担心风险。

NGate 恶意软件使用此工具渗透受害者的设备，从附近的 NFC 支付卡中窃取敏感数据，并通过地下服务器网络秘密地将其传回给攻击者。

攻击者可以轻松地将窃取的数据转换成虚拟卡，然后使用它在 ATM 机上提取现金或在销售点付款，从而对受害者造成直接损害。

在一段演示视频中，ESET 安全专家 Lukas Stefanko 演示了 NFCGate 的危险功能，它可以轻松扫描并窃取受害者钱包或背包中卡片的数据。商店里的攻击者甚至可以通过服务器接收数据，并使用受害者的卡片进行非接触式支付。

不仅如此，斯特凡科还警告说，NFCGate 还可以复制一些 NFC 门禁卡和令牌的唯一标识符，以进入限制区域。

黑客如何获取受害者的卡密码？

在大多数 ATM 机上提取现金都需要输入卡 PIN 码，研究人员称可以通过黑客攻击受害者获取该 PIN 码。

成功诱骗受害者安装虚假应用程序后，诈骗者会直接致电，冒充银行职员，进一步提升其可信度。他们用专业的语气和准确的个人信息，营造出完美的场景，诱骗受害者相信自己的账户存在问题。

然后，攻击者利用精心制作的短信，向受害者发送伪装成安全验证应用程序的恶意链接，进一步窃取重要信息。

当受害者使用设备刷卡并在恶意软件的网络钓鱼界面上输入 PIN 进行验证时，敏感信息就会传递给攻击者，从而使攻击者能够提取资金。

捷克警方在捷克首都布拉格的自动取款机上逮捕了一名使用该犯罪手段的犯罪团伙成员，成功破获该团伙。

ESET 警告称，风险远不止现金损失。NFCGate 还能克隆各种卡片，包括门禁卡、交通票、身份证、会员卡以及其他支持 NFC 技术的卡片，从而造成更为严重的后果。

提高设备安全性的一个简单方法是在不需要时关闭 NFC 功能。具体操作如下：前往 Android 手机的“设置”>“连接”>“NFC”，然后将其关闭。这有助于降低信息被盗的风险。

如果您需要一直启用 NFC，请仔细检查所有应用程序权限并限制仅访问必要的应用程序；仅从机构的官方网站或 Google Play 安装银行应用程序，并确保您使用的应用程序不是 WebAPK。

对于这一发现，谷歌发言人表示，目前在 Google Play 应用商店中尚未检测到任何包含 NGate 的应用程序，这得益于 Google Play Protect 的自动保护功能，该功能在安装 Google Play 服务的 Android 设备上默认启用。

谷歌还表示，在 Google Play 中没有发现此类恶意软件，因为 Play Protect 可以警告用户并阻止具有恶意行为的应用程序，即使这些应用程序来自第三方来源。