TokyoBlackHatNews

malwarebytes.com 4分で読了

Androidマルウェアがカード情報とPINを盗み、即座にATMから現金を引き出す

ポーランドのコンピュータ緊急対応チーム(CERT Polska)は、NFC技術を利用して不正なATM現金引き出しを行い、被害者の銀行口座を空にする新しいAndroidベースのマルウェアを分析しました

研究者たちは、このマルウェア「NGate」により、攻撃者が被害者のスマートフォンから抜き取った銀行データを使ってATM(現金自動預け払い機)から現金を引き出せることを発見しました——カード自体を物理的に盗む必要はありません。

NFCは、スマートフォンや支払い用カード、端末などのデバイスが非常に近くにあるときに通信できるワイヤレス技術です。つまり、銀行カードを盗む代わりに、攻撃者はNGateマルウェアに感染した携帯電話上のNFC(近距離無線通信)アクティビティをキャプチャし、その取引データをATMのデバイスに転送します。NGateの場合、盗まれたデータは無線だけでなくネットワーク経由で攻撃者のサーバーに送信されます。

NFCにはいくつかの「種類」があります。例えば、私のアパートのドアを開けるカードのように、静的なコードを生成するものもあります。この種の信号は、私の「Flipper Zero」のようなデバイスに簡単にコピーでき、それでドアを開けることができます。しかし、洗練された非接触型決済カード(VisaやMastercardのデビット・クレジットカードなど)は動的なコードを使用します。NFCを使うたびに、カードのチップが一度限りのユニークなコード(クリプトグラムやトークンと呼ばれることも多い)を生成し、それは再利用できず、毎回異なります。

これがNGateマルウェアをより高度にしている理由です。単にカードから信号を盗むだけではありません。スマートフォンが感染している必要があり、被害者がタップ決済やカード認証の操作を行い、PINを入力するよう騙されなければなりません。その際、アプリはカード番号だけでなく、その瞬間に生成された新しい一度限りのコードやその他の詳細も含め、必要なNFC取引データすべてをキャプチャします。

その後、マルウェアはPINを含むすべてのNFCデータを即座に攻撃者のデバイスに送信します。コードは新たに生成され、短時間しか有効でないため、攻撃者はすぐにそれを使ってATMでカードを模倣します。ATMにいる共犯者は、スマートフォンやスマートウォッチ、カスタムハードウェアなどのカードエミュレーションデバイスを使ってキャプチャしたデータを提示します。

しかし、想像できるように、データが届いたときにATMで待機しているには計画とソーシャルエンジニアリングが必要です。

まず、攻撃者は被害者のデバイスにマルウェアを仕込む必要があります。通常、フィッシングメールやSMSを送信して被害者を狙います。これらはしばしば、銀行口座にセキュリティや技術的な問題があると主張し、不安や緊急性を煽ります。時には、銀行を装って電話をかけてくることもあります。これらのメッセージや電話は、被害者にGoogle Play以外の非公式なリンクなどから偽の「銀行」アプリをダウンロードさせようとします。

インストールされると、アプリは権限を要求し、偽の「カード認証」手順を案内します。目的は、被害者に迅速かつ無防備に行動させることです——ATMで現金化を待つ共犯者がいる間に。

安全を守るには

NGateは、スマートフォンが感染し、偽の銀行アプリでタップ決済操作を開始し、PINを入力するよう騙された場合にのみ機能します。したがって、このマルウェアから身を守る最善の方法は、スマートフォンを保護し、ソーシャルエンジニアリングに警戒することです:

  • 信頼できるソースのみを利用しましょう。アプリはGoogle Play、AppleのApp Store、または公式提供元からのみダウンロードしてください。銀行が他のソースを使うよう求めることはありません。
  • デバイスを保護しましょう。最新のリアルタイムマルウェア対策ソリューション(Malwarebytes for Androidなど)を使用してください。これらはすでにこのマルウェアを検出します。
  • 不審な発信者には対応しないでください。銀行を名乗る人物から連絡があった場合は、登録している番号に自分からかけ直すと伝えてください。
  • 怪しいメッセージは無視しましょう。予期しないメッセージには、どんなに無害または緊急に見えても反応したり行動したりしないでください。

Malwarebytes for Androidは、これらのバンキングトロイの木馬をAndroid/Trojan.Spy.NGate.C、Android/Trojan.Agent.SIB01022b454eH140、Android/Trojan.Agent.SIB01c84b1237H62、Android/Trojan.Spy.Generic.AUR9552b53bH2756、Android/Trojan.Banker.AURf26adb59C19として検出します。

翻訳元: https://www.malwarebytes.com/blog/news/2025/11/android-malware-steals-your-card-details-and-pin-to-make-instant-atm-withdrawals

ソース: malwarebytes.com
#AIフィッシング #Androidマルウェア #ATM不正引き出し #NFCTheft #NGate #クレジットカード情報盗難 #スマートフォンセキュリティ #ソーシャルエンジニアリング #マルウェア対策 #銀行詐欺

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延