وبحسب تقرير نشره باحثون في شركة ESET للأمن المعلوماتي، فإن البرمجية الخبيثة تعمل على إرسال البيانات المسروقة إلى المهاجمين، ما يتيح لهم استنساخ بطاقة الضحية واستخدامها في أجهزة الصراف الآلي أو
نقاط البيع.
وأطلقت ESET على البرمجية الخبيثة اسم NGate، إذ أنها تستخدم أداة مفتوحة المصدر تُسمى NFCGate، وهي مخصصة لالتقاط وتحليل أو تعديل حركة مرور البيانات المتداولة عبر تقنية NFC.
وقال الباحث الرئيسي في شركة ESET،
لوكاس ستيفانكو: "هذه هي المرة الأولى التي نرى فيها برمجية خبيثة على أندرويد تستخدم هذه الإمكانية في العالم الحقيقي، إذ يمكن لثغرة NGate نقل بيانات NFC من بطاقة الضحية عبر الجهاز المصاب إلى هاتف ذكي تابع للمهاجم، ما يمكّنه من استنساخ البطاقة وسحب الأموال من أجهزة الصراف الآلي".
كيف تحدث عملية الاختراق؟
يستهدف المهاجمون ضحاياهم بسيناريوهات تصيُّد مختلفة Phishing Techniques، إذ يحاولون دفْعهم لتثبيت تطبيقات
ويب مزيفة بصيغة (PWA) Progressive Web App، وذلك إما من خلال رسائل نصية أو إعلانات رقمية تتضمن روابط تثبيت تؤدي لتحميلها على هواتف الضحايا.
ويعتمد المهاجمون على تصميم صفحات الويب التي تؤدي إليها الروابط المفخخة لتنتحل صفة مواقع بنوك موثوقة أو متجر تطبيقات "جوجل بلاي" Google Play، وبمجرد وقوع الضحية في الفخ، يتم مطالبته بإدخال بياناته البنكية بالكامل، وبمجرد إدخالها تصل إلى خادم تابع للمخترق.
وبعد ذلك تبدأ المرحلة الثانية من الهجوم، إذ يبادر المهاجم بإجراء مكالمة هاتفية بالضحية ليخبره بأن حسابه البنكي تعرّض للاختراق بسبب تثبيت برمجية خبيثة على هاتفه، ويطالبه بإجراء عملية إعادة توثيق لبيانات حسابه على هاتفه، وذلك عبر توجيهه لتثبيت تطبيق جديد على الهاتف.
رسم توضيحي لطريقة عمل هجوم سيبراني يستهدف سرقة بيانات البطاقات البنكية عبر برمجية NGate الخبيثة - ESETرسم توضيحي لطريقة عمل هجوم سيبراني يستهدف سرقة بيانات البطاقات البنكية عبر برمجية NGate الخبيثة - ESET
ولكن التطبيق الجديد يكون في حقيقة الأمر برمجية خبيثة، وهي NGate التي تُفعّل أداة NFCGate مفتوحة المصدر لتعقُّب وتحليل حركة البيانات المتداولة عبر تقنية NFC بين الأجهزة، ويتم هذا أيضاً عبر مواقع مزيفة تنتحل صفة مواقع رسمية للبنوك أو تطبيقات الهواتف المصرفية.
وبمجرد تثبيت التطبيق، وقيام الضحية بإدخال بياناته المصرفية، يطلب التطبيق من المستخدم تفعيل NFC ومسح البطاقة، وعندها يتمكن المهاجم من إنشاء نسخة مادية من البطاقة البنكية الخاصة بالضحية، وبالتالي يمكن استخدامها للسحب من آلات الصراف الآلي أو استخدامها عند نقاط الدفع في المتاجر.
وأشارت شركة ESET إلى أن برمجية NGate، استهدفت 3 بنوك في التشيك منذ
نوفمبر الماضي، كما تم التعرف على 6 تطبيقات منفصلة لـ NGate تم توزيعها من مصادر خارج متجر "جوجل بلاي" بين نوفمبر 2023 ومارس من العام الجاري.
وذكر التقرير، أن أحد أسباب انتهاء حملة NGate في مارس الماضي، هو القبض على شخص يبلغ من العمر 22 عاماً في التشيك أثناء سحب أموال من أجهزة الصراف الآلي في
العاصمة التشيكية براج باستخدام عدد من البطاقات البنكية المزيفة، وفقاً لتقرير الشرطة.
وأكد المتحدث باسم جوجل، في تصريحات صحافية، أنه "لا توجد تطبيقات تحتوي على هذه البرمجية على جوجل بلاي بناء على اكتشافاتنا الحالية".
ولفت إلى أن مستخدمي أندرويد محميون تلقائياً ضد النسخ المعروفة من هذه البرمجية عبر خدمة الحماية Google Play Protect.