في اكتشاف جديد يثير القلق، كشف باحثون في مجال الأمن السيبراني عن برمجية خبيثة تستهدف أجهزة أندرويد، تقوم بسرقة بيانات الدفع اللاسلكي من بطاقات الائتمان والخصم الخاصة بالضحايا، ومن ثم نقلها إلى جهاز يتحكم فيه المهاجم بهدف إجراء عمليات احتيالية.
تعود أصول NGate إلى أداة شرعية تدعى NFCGate، التي طورت في عام 2015 لأغراض البحث الأمني من قبل طلاب مختبر الشبكات المتنقلة الآمنة في جامعة دارمشتات التقنية.
وتشير الهجمات إلى استخدام مزيج من الهندسة الاجتماعية ورسائل التصيد الاحتيالي عبر الرسائل النصية لإقناع المستخدمين بتثبيت NGate من خلال توجيههم إلى مواقع إلكترونية مؤقتة تنتحل صفة مواقع بنكية شرعية أو تطبيقات بنكية رسمية متاحة على متجر جوجل بلاي.
حتى الآن، تم تحديد ستة تطبيقات مختلفة لـ NGate بين نوفمبر 2023 ومارس 2024، عندما توقفت الأنشطة المحتملة بعد اعتقال شاب يبلغ من العمر 22 عامًا من قبل السلطات التشيكية بتهمة سرقة أموال من أجهزة الصراف الآلي.
تتجاوز NGate استخدام وظيفة NFCGate لالتقاط حركة مرور NFC وتمريرها إلى جهاز آخر، حيث تطلب من المستخدمين إدخال معلومات مالية حساسة، بما في ذلك معرف العميل البنكي وتاريخ الميلاد ورمز PIN لبطاقة الدفع. يتم تقديم صفحة التصيد الاحتيالي ضمن WebView.
الهجمات تتبنى نهجاً خبيثاً، حيث يتلقى الضحايا بعد تثبيت التطبيق الخبيث مكالمات من الجهة المهاجمة، التي تتظاهر بأنها موظف في البنك وتخبرهم بأن حسابهم البنكي تعرض للاختراق بسبب تثبيت التطبيق. يتم توجيههم بعد ذلك لتغيير رمز PIN وتأكيد بطاقاتهم البنكية باستخدام تطبيق مختلف (NGate)، يتم إرسال رابط تثبيته عبر رسالة نصية.
تستخدم NGate خادمين مميزين لتسهيل عملياتها: الأول هو موقع تصيد مصمم لخداع الضحايا لتقديم معلومات حساسة وتنفيذ هجوم تمرير NFC، والثاني هو خادم NFCGate يهدف إلى إعادة توجيه حركة مرور NFC من جهاز الضحية إلى جهاز المهاجم.
يتزامن هذا الاكتشاف مع كشف مجموعة ThreatLabz عن نوع جديد من البرمجيات الخبيثة المعروفة باسم Copybara، التي تنتشر عبر هجمات التصيد الصوتي (vishing) وتستهدف حسابات الضحايا البنكية.
يستمر التهديد السيبراني في التطور، مما يتطلب من المستخدمين والمختصين في مجال الأمن اليقظة واتخاذ الاحتياطات اللازمة للحماية من مثل هذه الهجمات المتطورة.
