Un logiciel malveillant Android découvert capable de voler des données de carte de crédit

NGate, un nouveau malware Android extrêmement dangereux, est capable de voler les informations de cartes de paiement de manière sophistiquée. Exploitant la technologie NFC (Near-Field Communication), ce malware copie discrètement les informations des cartes de paiement et les transfère directement aux criminels, transformant ainsi votre téléphone en distributeur automatique de billets.

Ce logiciel malveillant permettrait aux criminels d'utiliser les données des utilisateurs aux distributeurs automatiques de billets et aux terminaux de point de vente (POS) pour retirer de l'argent ou payer des achats aux caisses enregistreuses.

Une étude récente menée par la société de cybersécurité ESET (Slovaquie) a révélé une campagne d'attaque qui dure depuis novembre 2023, au cours de laquelle des pirates ont profité d'applications Web avancées telles que PWA et WebAPK pour voler les informations d'identification bancaires des utilisateurs, menaçant directement les actifs des utilisateurs en République tchèque.

Dans un rapport publié le 22 août, la société de cybersécurité ESET a révélé une découverte alarmante : le malware NGate non seulement collecte des informations, mais est également utilisé pour voler de l'argent directement sur les comptes bancaires des victimes.

Un logiciel malveillant vole les données de la carte via la puce NFC

Les attaques commencent par une variété d'astuces sophistiquées, allant des faux messages aux appels frauduleux en passant par des publicités malveillantes, pour inciter les victimes à télécharger et à installer des applications Web malveillantes, notamment des PWA et des WebAPK.

Ces applications Web malveillantes sont astucieusement déguisées en mises à jour de sécurité urgentes, imitant complètement les interfaces et logos officiels des banques, afin d'inciter les utilisateurs à fournir des informations sur leur compte.

Bien qu'elles ne nécessitent aucune autorisation d'accès lors de l'installation, ces applications exploitent silencieusement les vulnérabilités de l'interface de programmation d'application (API) du navigateur pour voler le contrôle des composants matériels de l'appareil, complètement à l'insu de l'utilisateur.

La menace ne s'arrête pas là. Une fois incitées à installer le WebAPK, les victimes sont infectées par le malware NGate. Le plus alarmant est que NGate exploite NFCGate, un outil de recherche initialement conçu pour la sécurité, pour mener ses activités malveillantes, transformant ainsi cet outil de protection en arme d'attaque.

L'outil de sécurité NFCGate offre un large éventail de fonctionnalités, notamment la capture, le transfert, la relecture et la copie des données sur l'appareil, sans nécessairement interférer avec le système racine. Les utilisateurs peuvent ainsi l'utiliser facilement et sans se soucier des risques.

Le malware NGate utilise cet outil pour infiltrer l'appareil de la victime, voler des données sensibles des cartes de paiement NFC à proximité et les transférer secrètement à l'attaquant via un réseau de serveurs souterrains.

Les attaquants peuvent facilement transformer les données volées en une carte virtuelle, puis l’utiliser pour retirer de l’argent aux distributeurs automatiques ou effectuer des paiements aux points de vente, causant ainsi des dommages directs à la victime.

Dans une vidéo de démonstration, Lukas Stefanko, expert en sécurité chez ESET, a démontré les capacités dangereuses de NFCGate, qui peut facilement scanner et voler les données des cartes bancaires stockées dans le portefeuille ou le sac à dos d'une victime. Un attaquant dans un magasin peut même récupérer les données via un serveur et effectuer des paiements sans contact avec la carte de la victime.

Ne s'arrêtant pas là, Stefanko a également averti que NFCGate peut également copier les identifiants uniques de certaines cartes d'accès et jetons NFC pour accéder à des zones restreintes.

Comment les pirates informatiques obtiennent-ils les codes PIN des cartes de leurs victimes ?

Retirer de l'argent liquide dans la plupart des distributeurs automatiques de billets nécessite un code PIN de carte, qui, selon les chercheurs, peut être obtenu en piratant la victime.

Après avoir réussi à piéger la victime pour qu'elle installe la fausse application, l'escroc renforce sa crédibilité en appelant directement, se faisant passer pour un employé de banque. Avec un ton professionnel et des informations personnelles précises, il crée le scénario parfait pour faire croire à la victime qu'il y a un problème avec son compte.

Ensuite, à l’aide d’un message SMS soigneusement élaboré, l’attaquant envoie à la victime un lien malveillant, déguisé en application de vérification de sécurité, pour voler davantage d’informations importantes.

Lorsque la victime glisse la carte à l'aide de son appareil et saisit le code PIN pour vérification sur l'interface de phishing du logiciel malveillant, les informations sensibles sont transmises à l'attaquant, ce qui lui permet de retirer de l'argent.

La police tchèque a démantelé un gang utilisant cette méthode après avoir arrêté l'un de ses membres alors qu'il retirait de l'argent d'un distributeur automatique de billets dans la capitale tchèque, Prague.

ESET prévient que le risque va au-delà de la perte d'argent. NFCGate est également capable de cloner une large gamme de cartes, notamment des cartes d'accès, des titres de transport, des cartes d'identité, des cartes de membre et d'autres technologies NFC, avec des conséquences bien plus graves.

Un moyen simple de renforcer la sécurité de votre appareil est de désactiver la fonction NFC lorsque vous n'en avez pas besoin. Pour ce faire, accédez à Paramètres > Connexions > NFC sur votre téléphone Android et désactivez-la. Cela vous permettra de réduire le risque de vol d'informations.

Si vous devez activer le NFC en permanence, vérifiez toutes les autorisations des applications et limitez l'accès aux seules applications nécessaires ; installez uniquement des applications bancaires à partir du site Web officiel de l'institution ou de Google Play et assurez-vous que l'application que vous utilisez n'est pas un WebAPK.

Concernant cette découverte, un porte-parole de Google a déclaré qu'actuellement aucune application contenant NGate n'a été détectée sur la boutique d'applications Google Play grâce à la fonction de protection automatique de Google Play Protect, qui est activée par défaut sur les appareils Android avec Google Play Services.

Google a également déclaré n'avoir trouvé aucun logiciel malveillant de ce type répertorié dans Google Play, car Play Protect peut avertir les utilisateurs et bloquer les applications ayant un comportement malveillant, même si elles proviennent de sources tierces.