サイバーニュース.jp

世界のサイバーなニュースを配信

NGateマルウェア、被害者の決済カードを利用してATMからの不正な現金引き出しを可能に

カテゴリ:

NGateマルウェアの概要

NGateは、NFC技術を悪用して、物理的な決済カードを盗むことなくATMからの不正な現金引き出しを可能にする、高度なAndroidベースの脅威です。攻撃者は、被害者のAndroidスマートフォンからカードのNFC通信を傍受し、それをATMに設置された攻撃者制御デバイスに送信する巧妙なリレー攻撃を使用します。これにより、従来のセキュリティ対策を回避し、不正な取引を可能にします。

攻撃の開始とソーシャルエンジニアリング

NGateキャンペーンは、被害者の警戒心を低下させるために綿密に計画されたソーシャルエンジニアリング戦術から始まります。標的は、技術的な問題やセキュリティインシデントに対処すると主張するフィッシングメッセージを電子メールまたはSMSで受け取ります。これらのメッセージには、正規のバンキングアプリケーションに見せかけたものをインストールするよう促す詐欺ページへのリンクが含まれています。分析されたサンプルでは、悪意のあるAPKがファイルホスティングサービスを通じて配布されており、複数の配布経路が確認されています。

偽の銀行員による巧妙な手口

攻撃は、攻撃者が電話で銀行員を装い、偽の権威と正当性を確立することでさらにエスカレートします。これらの詐欺師は「身元確認」を主張し、悪意のあるアプリケーションの必要性を正当化します。信頼性を強化するため、被害者は同時に、発信者が銀行員であると見せかけるSMSメッセージを受け取ります。これは、成功する可能性を大幅に高める連携した欺瞞です。

アプリ内でのカード情報窃取

インストール後、アプリケーションは被害者にアプリのインターフェース内で直接決済カードを認証するよう促します。この重要なステップでは、物理的なカードをスマートフォンのNFCリーダーにかざし、画面上のキーパッドを使用してカードのPINを入力する必要があります。この一見すると日常的な認証プロセスが、マルウェアがカードの完全なNFCデータ交換(正規のATM取引中に流れる情報と同一)を捕捉する決定的な瞬間となります。

NFCリレーとC2通信

NGateマルウェアは、Android上でホストカードエミュレーション(HCE)決済サービスとして自身を登録し、スマートフォンを仮想決済カードとして機能させます。マルウェアのサーバーアドレスと運用パラメータは、アプリケーションにバンドルされた暗号化されたアセット内に隠されており、APKの署名証明書のSHA-256ハッシュから派生したキーを使用して復号されます。捕捉されたサンプルの分析により、IP 91.84.97.13のポート5653にライブC2インフラストラクチャエンドポイントが確認されました。

被害者がカードをタップすると、マルウェアはすべてのNFC交換を捕捉し、入力されたPINとともに攻撃者のC2サーバー、またはATMに設置された攻撃者制御デバイスに送信します。その後、攻撃者はこのカードデータとPINをATM端末にリプレイし、認証メカニズムを回避して現金を引き出します。通信プロトコルは、フレーム長(4バイト)、オペコード(4バイト)、メッセージ本体で構成されるシンプルなフレーム形式を使用しています。注目すべきは、このサンプルがTLS暗号化なしで平文TCPを介してトラフィックを送信しており、脅威を追跡するネットワークアナリストにとって傍受が容易であることです。

NGateおよび類似の脅威からの保護策

組織および個人は、直ちに対策を講じる必要があります。

  • バンキングアプリケーションは、公式のアプリストア(Google PlayストアまたはApple App Store)からのみダウンロードしてください。これらのプラットフォームは、悪意のあるアプリケーションの配布を減らすためのセキュリティレビュープロセスを維持しています。
  • 未承諾の電話で個人情報を提供しないでください。代わりに、電話を切って、公式の明細書やウェブサイトに記載されている番号を使用して、独立して銀行に電話をかけてください。この検証方法により、発信者の信頼性が明確に確認され、ソーシャルエンジニアリングの成功を防ぐことができます。
  • 金融機関は、セキュリティに関する通知を通じて顧客にNGateについて警告し、この進化する脅威の状況についてユーザーを教育する必要があります。

侵害の痕跡 (Indicators of Compromise)

  • MD5ハッシュ:
    • 2cee3f603679ed7e5f881588b2e78ddc
    • 701e6905e1adf78e6c59ceedd93077f3
    • 2cb20971a972055187a5d4ddb4668cc2
    • b0a5051df9db33b8a1ffa71742d4cb09
    • bcafd5c19ffa0e963143d068c8efda92
  • IPアドレス:ポート: 91.84.97.13:5653
  • URL: files[.]fm/u/yfwsanu886

元記事: https://gbhackers.com/ngate-malware/

投稿をさらに読み込む