被害者のカード情報をフィッシングし、ATMでの出金のためにカードデータを攻撃者へ送信するよう設計された新たなAndroidマルウェアが確認された。
ESETのセキュリティ研究者によると、2024年3月以降に活動しているクライムウェア・キャンペーンが、3つのチェコの銀行の顧客を標的にしている。
この攻撃では、複数段階のフィッシング・キャンペーンの後、被害者が気付かないうちに端末へダウンロードしてしまう新種のマルウェア「NGate」が用いられる。
インストールして起動すると、NGateは被害者の銀行情報を要求する偽サイトを表示し、その情報は攻撃者のサーバーへ送信される。
しかし、より興味深い機能として「NFCGate」と呼ばれる仕組みがあり、被害者端末と攻撃者端末の間で近距離無線通信(NFC)データを中継する。NFCは店舗での非接触決済に使われる短距離無線技術で、ユーザーのPINと併用することでATMでの出金にも利用される。
ATMの脅威について詳しく読む:ベルギーで初のジャックポッティング攻撃が発生
ESETによれば、NGateは被害者に対し、銀行の顧客ID、生年月日、カードのPINコードなどの情報入力を促す。またスマートフォンのNFCをオンにするよう求め、悪意あるアプリがカードを認識するまで、決済用カードを端末の近くに置くよう指示する。
盗まれたNFCデータとPINがあれば、攻撃者はATMで被害者になりすまして現金を引き出せる。仮にそれがうまくいかなくても、フィッシングで得た銀行情報を使って被害者の口座にアクセスし、資金を送金できるとESETは主張している。
同じNGateマルウェアは、物理的に近い場所にいる悪意ある者が、放置されたバッグなどを通じて非接触カードデータを「読み取る」ためにも利用され得る。ただし、この手法で被害者のカードをコピーしてエミュレートしたとしても、可能になるのは少額の非接触決済に限られると報告書は付け加えた。
NGateマルウェアの仕組み
複数段階の攻撃は次のように進む:
- 攻撃者が被害者にSMSでフィッシングリンクを送信する
- 被害者は気付かないうちに、ユーザーに銀行情報の入力を求める悪意ある偽装銀行アプリをインストールしてしまう
- 悪意あるアプリがフィッシングした銀行認証情報を攻撃者のサーバーへ送信する
- 攻撃者が銀行関係者になりすまして被害者に電話し、セキュリティインシデントが発生したと装ってPINの変更と、悪意あるアプリを通じたカードの確認を促す
- 攻撃者がNGateマルウェアをダウンロードさせるためのSMSリンクを送る
- NGateが被害者のPINと、決済カードからのNFC通信を中継する
「このような複雑な攻撃からの防御を確実にするには、フィッシング、ソーシャルエンジニアリング、Androidマルウェアといった手口に対して、一定の能動的な対策を講じる必要があります」と、ESETのマルウェア研究者ルカーシュ・シュテファンコ氏は説明した。
「つまり、WebサイトのURLを確認すること、公式ストアからアプリをダウンロードすること、PINコードを秘密に保つこと、スマートフォンでセキュリティアプリを利用すること、不要なときはNFC機能をオフにすること、保護ケースを使用すること、または認証で保護されたバーチャルカードを使用することです。」
Googleの広報担当者はInfosecurityに対し、次の声明を送った。「現時点の検知に基づくと、このマルウェアを含むアプリはGoogle Play上では見つかっていません。Androidユーザーは、Google Play開発者サービスを搭載したAndroid端末で既定でオンになっているGoogle Play Protectにより、このマルウェアの既知のバージョンから自動的に保護されています。Google Play Protectは、Play以外の提供元から入手したアプリであっても、悪意ある挙動を示すことが知られているアプリについて、ユーザーに警告したりブロックしたりできます。」
翻訳元: https://www.infosecurity-magazine.com/news/android-malware-steals-card-nfc/
