新型 NFC 惡意程式鎖定 Android 用戶 竊取銀行資訊

資安專家最近發現了一款新型 Android 惡意程式 NGate。這款程式能夠複製實體信用卡和金融卡的行動支付資料，並將其傳送至駭客的 Android 裝置進行詐騙交易。此惡意程式是專家首次發現的新威脅，凸顯了駭客手法正在不斷演進。

濫用合法工具

NGate 實際上是以 NFCgate 為基礎開發的。NFCgate 最初由德國達姆施塔特大學的學生所開發，目的是用來擷取、分析和修改近距離無線通訊（NFC）流量。這些學生開發 NFCgate 作為合法研究工具，主要用於逆向工程或評估不同流量條件下的協議安全性。

NFCgate 的功能包括：擷取 Android 手機上應用程式的 NFC 流量、透過伺服器在裝置間轉發 NFC 流量、重播擷取的流量，以及複製識別初始標籤資訊。資深惡意程式研究員解釋，該軟體最初是為研究目的而開發，旨在證明 Android 手機的 NFC 感應通訊距離通常僅有 5 至 10 公分。

駭客利用 NFCGate，結合釣魚和社交工程手法，試圖透過虛假 ATM 交易從受害者的銀行帳戶中盜取現金。

隱蔽的詐騙手法

駭客會透過簡訊向民眾發送假稅務通知，受害者點擊簡訊中的連結後，會下載一個漸進式網頁應用程式（PWA）或網頁版APK檔案。這些惡意程式會竊取使用者的網路銀行帳號和密碼，並將資料回傳給駭客，而這類釣魚手法已被駭客長期使用，藉以騙取民眾的金融資訊。

接著，駭客會冒充銀行員工致電潛在受害者，聲稱其帳戶發生安全問題，並要求更改 PIN 碼和驗證卡片。一旦受害者落入陷阱，便會收到一個下載 NGate 的連結。這款惡意軟體隨後會執行一連串步驟，進行 ATM 提款詐騙。

資安專家進一步指出，NGate 安裝並開啟後會顯示一個虛假網站，誘導用戶輸入銀行資訊，隨後將這些資料傳送至駭客的伺服器。此惡意程式會要求受害者輸入多項敏感資訊，包括銀行客戶 ID、出生日期和銀行卡 PIN 碼等。此外，還會指示受害者啟用智慧型手機的 NFC 功能，並將卡片貼近手機背面，直到惡意軟體成功識別卡片。

此時，NGate 會擷取受害者卡片的 NFC 資料，並透過伺服器將其傳送至駭客的 Android 裝置。駭客的 Android 手機必須具有 root 權限或已在系統層級遭入侵，才能使用這些轉發的資料。這些 NFC 資料讓駭客能在自己的智慧型手機上複製受害者的卡片，進而在支援 NFC 功能的 ATM 上提款。

其他案例

駭客也可利用類似 NGate 的惡意程式竊取和轉發 NFC 資料，透過實體接觸或誘導使用者將卡片或標籤靠近被駭的 Android 手機來達成目的。資安業者指出，他們已成功測試並轉發了 MIFARE Classic 1K 使用者ID，這種 ID常用於大眾運輸票證、門禁卡、會員卡或學生證等。

Google 發言人強調，目前檢測結果顯示 Google Play 商店中未發現含有此惡意程式的應用程式，而具備 Google Play 服務的 Android 裝置預設受到 Google Play Protect 自動保護。即使惡意應用程式來源非 Google Play 商店，Google Play Protect 仍能警告用戶或阻擋已知的惡意應用程式。

本文轉載自 DarkReading。