Những kẻ tấn công có thể sao chép dữ liệu NFC từ thẻ thanh toán vật lý của nạn nhân bằng ứng dụng độc hại NGate và chuyển tiếp dữ liệu này đến thiết bị của mình, sau đó, thiết bị này có thể sao chép thông tin, dữ liệu từ thẻ gốc và rút tiền từ các máy ATM.
Các nhà nghiên cứu của ESET đã phát hiện ra một chiến dịch nhắm vào khách hàng của 3 ngân hàng ở Séc, thông qua phần mềm độc hại NGate.
Phần mềm độc hại này sẽ cho phép kẻ gian sử dụng dữ liệu của người dùng tại các máy ATM và máy POS để rút tiền hoặc thanh toán cho các giao dịch mua tại máy tính tiền. Trong báo cáo công bố ngày 22/8, ESET tiết lộ NGate không chỉ dừng lại ở việc thu thập thông tin, mà còn được tận dụng để thực hiện các vụ trộm cắp tiền trực tiếp từ tài khoản ngân hàng của nạn nhân.
“Chúng tôi chưa từng thấy kỹ thuật chuyển tiếp NFC mới lạ này trong bất kỳ phần mềm độc hại Android nào được phát hiện trước đó”, Lukáš Štefanko, người đã phát hiện ra mối đe dọa và kỹ thuật mới lạ này cho biết.
Về cách thức hoạt động, các cuộc tấn công diễn ra bằng một loạt thủ đoạn tinh vi. Theo đó, nạn nhân sẽ nhận được tin nhắn khẩn cấp yêu cầu cài đặt một ứng dụng vì có vấn đề với tờ khai thuế của họ. Tin này này chứa liên kết đến một trang web giả mạo, thu thập thông tin đăng nhập của nạn nhân và cung cấp cho kẻ xấu quyền truy cập vào tài khoản ngân hàng.
Kẻ tấn công sẽ giả làm nhân viên ngân hàng và gọi điện tới nạn nhân, đưa ra thông báo đã gửi một tin nhắn văn bản chứa liên kết đến một ứng dụng được dùng để bảo vệ tài khoản bằng cách cho phép nạn nhân thay đổi mã PIN và xác minh thẻ của mình. Nạn nhân sau đó được yêu cầu bật NFC trên điện thoại cá nhân và quét thẻ. Thực chất, ứng dụng di động này là phần mềm độc hại NGate.
NGate có thể chuyển tiếp dữ liệu NFC từ thẻ của nạn nhân thông qua di động bị xâm nhập đến di động của kẻ tấn công, sau đó có thể mô phỏng thẻ. Kết quả, kẻ gian sẽ nhận được thông tin theo thời gian thực và rút tiền từ máy ATM.
Cảnh sát Cộng hòa Séc đã phá vỡ một băng nhóm sử dụng phương thức này sau khi bắt giữ một trong những thành viên của nhóm đang rút tiền mặt từ một máy ATM ở Prague (Cộng hòa Séc).
Cần lưu ý, hiện không có ứng dụng nào chứa NGate được phát hiện trên Google Play nhờ chức năng tự động bảo vệ của Google Play Protect, vốn được bật theo mặc định trên các thiết bị Android có Google Play Services.
Google cũng cho biết họ không tìm thấy phần mềm độc hại nào như vậy được liệt kê trong Google Play bởi Play Protect có thể cảnh báo người dùng và chặn các ứng dụng có hành vi độc hại ngay cả khi các ứng dụng đó đến từ nguồn của bên thứ ba. Sáu ứng dụng chứa NGate đã tấn công 3 ngân hàng tại Cộng hòa Séc được phát hiện từ các nguồn không phải Play Store trong khoảng thời gian từ tháng 11.2023 đến tháng 3.2024.
Lukáš Štefanko chia sẻ, để đảm bảo bảo vệ khỏi các cuộc tấn công phức tạp như vậy, người dùng cần phải chủ động chống lại bằng cách: Kiểm tra URL của các trang web; tải xuống ứng dụng từ các cửa hàng chính thức; giữ bí mật mã PIN; sử dụng các ứng dụng bảo mật trên điện thoại thông minh; tắt chức năng NFC khi không cần thiết…
