اكتشاف برمجية خبيثة جديدة تستهدف هواتف أندرويد لسرقة بيانات بطاقات الدفع عبر NFC

detafour منذ 3 أسابيع

0 1٬657 دقيقة واحدة

أعلن باحثون في مجال الأمن السيبراني عن اكتشاف برمجية خبيثة جديدة تستهدف هواتف نظام تشغيل “أندرويد”، حيث تم تصميمها لسرقة بيانات بطاقات الدفع باستخدام تقنية الاتصال قريب المدى NFC المدمجة في الأجهزة المستهدفة.

وفقا لتقرير صادر عن شركة ESET للأمن المعلوماتي، فإن البرمجية الخبيثة تُعرف باسم NGate، وتستخدم أداة مفتوحة المصدر تُسمى NFCGate، وهي مصممة لالتقاط وتحليل أو تعديل حركة مرور البيانات عبر تقنية NFC.

تعمل NGate على إرسال البيانات المسروقة إلى المهاجمين، مما يمكنهم من استنساخ بطاقة الضحية واستخدامها في أجهزة الصراف الآلي أو نقاط البيع.

و يعتمد المهاجمون على تقنيات التصيّد المتقدمة لتوجيه ضحاياهم نحو تطبيقات ويب مزيفة بصيغة (PWA) Progressive Web App. يتم ذلك عبر رسائل نصية أو إعلانات رقمية تحتوي على روابط تؤدي إلى تحميل هذه التطبيقات على هواتف الضحايا.

تصميم الصفحات المضللة يتظاهر بأنها مواقع بنوك موثوقة أو متجر “جوجل بلاي”، وبمجرد أن ينجرف الضحية نحو الفخ ويُطلب منه إدخال بياناته البنكية، تُرسل هذه البيانات إلى خادم تابع للمخترق.

تبدأ المرحلة التالية من الهجوم بمكالمة هاتفية من المهاجم إلى الضحية، يُخبره خلالها أن حسابه البنكي قد تعرض للاختراق بسبب تثبيت برمجية خبيثة على هاتفه.

و يطلب المهاجم من الضحية تثبيت تطبيق جديد على الهاتف لإعادة توثيق بياناته. هذا التطبيق هو في الواقع برمجية خبيثة تُفعّل أداة NFCGate لمراقبة وتحليل حركة بيانات NFC بين الأجهزة.

عند تثبيت التطبيق وإدخال بياناته المصرفية، يُطلب من المستخدم تفعيل NFC ومسح البطاقة. يتمكن المهاجم عندها من إنشاء نسخة مادية من البطاقة البنكية للضحية، مما يتيح له استخدامها في سحب الأموال من آلات الصراف الآلي أو نقاط الدفع في المتاجر.

أشارت شركة ESET إلى أن برمجية NGate استهدفت ثلاثة بنوك في التشيك منذ نوفمبر الماضي، وتم التعرف على ستة تطبيقات منفصلة لـ NGate تم توزيعها من مصادر غير رسمية بين نوفمبر 2023 ومارس 2024.

و انتهت حملة NGate في مارس 2024 بعد القبض على شخص يبلغ من العمر 22 عاماً في التشيك أثناء سحبه أموالاً باستخدام بطاقات مزيفة.

وأكد المتحدث باسم جوجل أنه “لا توجد تطبيقات تحتوي على هذه البرمجية على متجر جوجل بلاي بناءً على اكتشافاتنا الحالية”، مشيرًا إلى أن مستخدمي أندرويد محميون تلقائيًا ضد النسخ المعروفة من هذه البرمجية عبر خدمة الحماية Google Play Protect.