Un logiciel malveillant Android découvert capable de voler des données de carte de crédit

NGate, un nouveau malware Android extrêmement dangereux, est capable de voler les informations de cartes de paiement de manière sophistiquée. Exploitant la technologie NFC (Near-Field Communication), le malware copie discrètement les informations des cartes de paiement et les transfère directement aux criminels, transformant ainsi votre téléphone en distributeur automatique de billets.

Ce logiciel malveillant permettrait aux criminels d'utiliser les données des utilisateurs aux distributeurs automatiques de billets et aux terminaux de point de vente (POS) pour retirer de l'argent ou payer des achats aux caisses enregistreuses.

Des recherches récentes menées par la société de cybersécurité ESET (Slovaquie) ont révélé une campagne d'attaque qui dure depuis novembre 2023, au cours de laquelle des pirates informatiques exploitent des applications Web avancées telles que PWA et WebAPK pour voler les informations d'identification bancaires des utilisateurs, menaçant directement les actifs des utilisateurs en République tchèque.

Dans un rapport publié le 22 août, la société de cybersécurité ESET a révélé une découverte alarmante : le malware NGate collecte non seulement des informations, mais est également utilisé pour voler de l'argent directement sur les comptes bancaires des victimes.

Un logiciel malveillant vole les données de la carte via la puce NFC

Les attaques commencent par une variété de tactiques sophistiquées, allant des faux messages aux appels frauduleux en passant par les publicités malveillantes, pour inciter les victimes à télécharger et à installer des applications Web malveillantes, notamment des PWA et des WebAPK.

Ces applications Web malveillantes sont habilement déguisées en mises à jour de sécurité urgentes, imitant complètement l'interface officielle et le logo des banques, afin d'inciter les utilisateurs à fournir des informations sur leur compte.

Bien qu'elles ne nécessitent aucune autorisation lors de l'installation, ces applications exploitent silencieusement les vulnérabilités de l'interface de programmation d'application (API) du navigateur pour voler le contrôle des composants matériels de l'appareil, complètement à l'insu de l'utilisateur.

La menace ne s'arrête pas là. Après avoir été piégées et avoir installé le WebAPK, les victimes sont infectées par le malware NGate. Fait alarmant, NGate exploite NFCGate, un outil de recherche initialement conçu pour la sécurité, pour mener ses activités malveillantes, transformant ainsi cet outil de protection en arme d'attaque.

L'outil de sécurité NFCGate offre un large éventail de fonctionnalités, notamment la capture, le transfert, la relecture et la copie des données sur l'appareil, sans nécessairement interférer avec le système racine. Les utilisateurs peuvent ainsi l'utiliser facilement sans se soucier des risques.

Le malware NGate utilise cet outil pour infiltrer l'appareil de la victime, voler des données sensibles des cartes de paiement NFC à proximité et les transférer secrètement à l'attaquant via un réseau de serveurs souterrains.

Les attaquants peuvent facilement transformer les données volées en une carte virtuelle, puis l’utiliser pour retirer de l’argent aux distributeurs automatiques ou effectuer des paiements aux points de vente, causant ainsi des dommages directs à la victime.

Dans une vidéo de démonstration, Lukas Stefanko, expert en sécurité chez ESET, a démontré les capacités dangereuses de NFCGate, montrant comment il peut facilement scanner et voler les données des cartes bancaires présentes dans le portefeuille ou le sac à dos d'une victime. Un attaquant dans un magasin peut même récupérer les données via un serveur et effectuer des paiements sans contact avec la carte de la victime.

Ne s'arrêtant pas là, Stefanko a également averti que NFCGate peut également copier les identifiants uniques de certaines cartes d'accès et jetons NFC pour accéder à des zones restreintes.

Comment les pirates informatiques obtiennent-ils les codes PIN des cartes de leurs victimes ?

Retirer de l'argent liquide dans la plupart des distributeurs automatiques de billets nécessite un code PIN de carte, qui, selon les chercheurs, peut être obtenu en piratant la victime.

Après avoir réussi à piéger la victime pour qu'elle installe la fausse application, l'escroc renforce sa crédibilité en appelant directement la victime, se faisant passer pour un employé de banque. Avec un ton professionnel et des informations personnelles précises, il crée le scénario parfait pour faire croire à la victime qu'il y a un problème avec son compte.

Ensuite, à l’aide d’un message SMS soigneusement élaboré, l’attaquant envoie à la victime un lien malveillant, déguisé en application de vérification de sécurité, pour continuer à voler des informations importantes.

Lorsque la victime glisse la carte à l'aide de son appareil et saisit le code PIN pour vérification sur l'interface de phishing du logiciel malveillant, les informations sensibles sont transmises à l'attaquant, ce qui lui permet de retirer de l'argent.

La police tchèque a démantelé un gang utilisant cette méthode après avoir arrêté l'un de ses membres alors qu'il retirait de l'argent à un distributeur automatique de billets dans la capitale tchèque, Prague.

ESET prévient que le risque va au-delà de la simple perte d'argent. NFCGate est également capable de cloner une large gamme de cartes, notamment des cartes d'accès, des titres de transport, des cartes d'identité, des cartes de membre et d'autres technologies NFC, avec des conséquences bien plus graves.

Un moyen simple de renforcer la sécurité de votre appareil est de désactiver le NFC lorsque vous n'en avez pas besoin. Pour ce faire, accédez à Paramètres > Connexions > NFC sur votre téléphone Android et désactivez-le. Cela vous permettra de réduire le risque de vol de vos informations.

Si vous devez activer le NFC en permanence, vérifiez toutes les autorisations des applications et limitez l'accès aux seules applications qui en ont besoin ; installez uniquement des applications bancaires à partir du site Web officiel de l'organisation ou de Google Play et assurez-vous que l'application que vous utilisez n'est pas un WebAPK.

Concernant cette découverte, un porte-parole de Google a déclaré qu'actuellement aucune application contenant NGate n'a été détectée sur la boutique d'applications Google Play grâce à la fonction de protection automatique de Google Play Protect, qui est activée par défaut sur les appareils Android avec Google Play Services.

Google a également déclaré n'avoir trouvé aucun logiciel malveillant de ce type répertorié dans Google Play, car Play Protect peut avertir les utilisateurs et bloquer les applications ayant un comportement malveillant, même si elles proviennent de sources tierces.