Un logiciel malveillant Android capable de voler des données de cartes de crédit a été découvert.

NGate, un nouveau logiciel malveillant Android extrêmement dangereux, est capable de voler les informations de cartes bancaires de manière sophistiquée. En exploitant la technologie NFC (Near-Field Communication), ce logiciel malveillant copie discrètement les informations des cartes bancaires et les transfère directement aux criminels, transformant ainsi votre téléphone en distributeur automatique de billets.

Ce logiciel malveillant permettrait aux criminels d'utiliser les données des utilisateurs aux guichets automatiques et aux terminaux de point de vente pour retirer de l'argent ou payer des achats aux caisses.

Des recherches récentes menées par la société de cybersécurité ESET (Slovaquie) ont révélé une campagne d'attaques qui dure depuis novembre 2023, dans laquelle des pirates informatiques ont profité d'applications Web avancées telles que PWA et WebAPK pour voler les identifiants bancaires des utilisateurs, menaçant directement les actifs des utilisateurs en République tchèque.

Dans un rapport publié le 22 août, la société de cybersécurité ESET a révélé une découverte alarmante : le logiciel malveillant NGate ne se contente pas de collecter des informations, mais est également utilisé pour voler de l’argent directement sur les comptes bancaires des victimes.

Un logiciel malveillant vole les données de carte via la puce NFC.

Les attaques débutent par diverses techniques sophistiquées, allant des faux messages aux appels frauduleux en passant par les publicités malveillantes, afin d'inciter les victimes à télécharger et à installer des applications Web malveillantes, notamment les PWA et les WebAPK.

Ces applications web malveillantes sont habilement déguisées en mises à jour de sécurité urgentes, imitant parfaitement les interfaces et logos officiels des banques, afin d'inciter les utilisateurs à fournir leurs informations de compte.

Bien qu'elles ne nécessitent aucune autorisation d'accès lors de leur installation, ces applications exploitent silencieusement les vulnérabilités de l'interface de programmation d'applications (API) du navigateur pour prendre le contrôle des composants matériels de l'appareil, à l'insu de l'utilisateur.

La menace ne s'arrête pas là. Une fois piégées et ayant installé le fichier WebAPK, les victimes sont infectées par le logiciel malveillant NGate. Plus inquiétant encore, NGate exploite NFCGate, un outil de recherche initialement conçu pour la sécurité, afin de mener ses activités malveillantes, transformant ainsi cet outil de protection en une arme d'attaque.

L'outil de sécurité NFCGate offre un large éventail de fonctionnalités, notamment la capture, le transfert, la relecture et la copie de données sur l'appareil, sans nécessairement modifier le système racine. Les utilisateurs peuvent ainsi l'utiliser en toute sécurité.

Le logiciel malveillant NGate utilise cet outil pour infiltrer l'appareil de la victime, voler des données sensibles à partir de cartes de paiement NFC à proximité et les transférer secrètement à l'attaquant via un réseau de serveurs souterrains.

Les pirates peuvent facilement transformer des données volées en carte virtuelle, puis l'utiliser pour retirer de l'argent aux distributeurs automatiques ou effectuer des paiements aux points de vente, causant ainsi un préjudice direct à la victime.

Dans une vidéo de démonstration, Lukas Stefanko, expert en sécurité chez ESET, a présenté les dangers que représente NFCGate, capable de scanner et de voler facilement les données des cartes bancaires dans le portefeuille ou le sac à dos d'une victime. Un pirate informatique, même dans un magasin, peut recevoir ces données via un serveur et effectuer des paiements sans contact avec la carte de la victime.

Mais Stefanko ne s'est pas arrêté là ; il a également averti que NFCGate pouvait aussi copier les identifiants uniques de certaines cartes et jetons d'accès NFC pour accéder à des zones restreintes.

Comment les pirates informatiques obtiennent-ils les codes PIN des cartes de leurs victimes ?

Pour retirer de l'argent aux distributeurs automatiques, il faut généralement un code PIN, que les chercheurs affirment pouvoir obtenir en piratant la victime.

Après avoir réussi à convaincre sa victime d'installer la fausse application, l'escroc renforce sa crédibilité en l'appelant directement, se faisant passer pour un employé de banque. Avec un ton professionnel et des informations personnelles exactes, il crée le scénario idéal pour faire croire à la victime qu'il y a un problème avec son compte.

Ensuite, au moyen d'un SMS soigneusement conçu, l'attaquant envoie à la victime un lien malveillant, déguisé en application de vérification de sécurité, afin de voler d'autres informations importantes.

Lorsque la victime passe la carte dans son appareil et saisit le code PIN pour vérification sur l'interface d'hameçonnage du logiciel malveillant, les informations sensibles sont transmises à l'attaquant, lui permettant de retirer de l'argent.

La police tchèque a démantelé un gang utilisant cette méthode après avoir arrêté l'un de ses membres alors qu'il retirait de l'argent à un distributeur automatique de billets dans la capitale tchèque, Prague.

ESET prévient que le risque ne se limite pas à la perte d'argent liquide. NFCGate est également capable de cloner une large gamme de cartes, notamment les cartes d'accès, les titres de transport, les cartes d'identité, les cartes de membre et autres technologies NFC, avec des conséquences bien plus graves.

Pour renforcer la sécurité de votre appareil, il suffit de désactiver la fonction NFC lorsqu'elle n'est pas utilisée. Sur votre téléphone Android, accédez à Paramètres > Connexions > NFC et désactivez-la. Vous réduirez ainsi les risques de vol de données.

Si vous devez activer la technologie NFC en permanence, vérifiez attentivement toutes les autorisations des applications et limitez l'accès aux seules applications nécessaires ; installez uniquement les applications bancaires depuis le site Web officiel de l'établissement ou Google Play, et assurez-vous que l'application que vous utilisez n'est pas un WebAPK.

Concernant cette découverte, un porte-parole de Google a déclaré qu'actuellement, aucune application contenant NGate n'a été détectée sur le Google Play Store grâce à la fonction de protection automatique de Google Play Protect, activée par défaut sur les appareils Android équipés des services Google Play.

Google a également déclaré n'avoir trouvé aucun logiciel malveillant de ce type répertorié sur Google Play, car Play Protect peut avertir les utilisateurs et bloquer les applications au comportement malveillant, même si elles proviennent de sources tierces.