セキュリティ会社 ESET は最近、主に Android ユーザーをターゲットとしたマルウェアを報告しました。このマルウェアは、盗まれた NFC トラフィックとソーシャル エンジニアリング攻撃を併用して、ユーザーから銀行データを盗みます。 Ngate と呼ばれるこのマルウェアにより、攻撃者は影響を受けるユーザーの銀行口座から資金を吸い上げることができます。この攻撃は、複数の可動部分があるという点で独特であり、多面的なアプローチの一部として NFC 傍受を統合したものとしては、実際に確認されたのは初めてであると報告されています。

攻撃の仕組みは比較的単純です。すべては、ユーザーが選択したバンキング アプリの偽バージョンをインストールするように説得することから始まります。これは、Google Play の公式インターフェイスを模倣した悪意のある広告やプログレッシブ ウェブ アプリを通じて行われ、一部の銀行アプリを使ってユーザーを騙し、別のもの (通常は重要なセキュリティ アップデート) であると信じ込ませてインストールさせます。これは 2 つの部分からなるプロセスです。パート 1 は、ユーザーにハードウェアと銀行データへのアクセスを許可させることを目的としており、パート 2 では実際のマルウェアをインストールします。

このマルウェアは、NFCGate と呼ばれるオープンソース ツールセットをベースにしており、ホスト デバイス上の NFC トラフィックを分析または変更できるようにすることを目的としてドイツの大学生によって開発されました。一方、NGate は、純粋に聞いて送信するために作られたアプリです。感染したデバイスが NFC 対応の銀行カード、またはその他の NFC 対応のタグやカードに近づけられると、NFC 経由でブロードキャストされる情報がデバイスによってキャプチャされ、攻撃者に中継されます。そこから、root 権限が有効になっている Android デバイスを使用して、NFC 出力のクローンを作成できます。これにより、ATM やその他の NFC レセプタクルをだまして、そのカードやタグを保持していると思わせることができます。最初のステップで盗まれた銀行情報とともに、これにより被害者の PIN にアクセスまたは変更し、お金を引き出すことが可能になります。

この攻撃は、少なくとも 2023 年 11 月からチェコで活動していることが判明しました。この戦術は、6 つの偽アプリを通じてチェコの銀行 3 行の顧客を標的として、限定的な規模で使用されたようです。このマルウェアを使用して金銭を盗んだ人物の 1 人が 2024 年 3 月にプラハで逮捕され、盗まれた資金のおよそ 6,500 ドル相当が彼に預けられました。彼の身元と国籍はまだ明らかにされていない。報告書は、逮捕以来、この攻撃の使用は停止されているようだと指摘した。

ESET は活動が停止したと考えていますが、別の攻撃者が同じツールセットを入手してアプローチし、新しいユーザー向けに改良を加えるのはそれほど難しいことではありません。公式の Google Play ストアでは、この特定のマルウェアを含むソフトウェアが見つからないことは注目に値します。 Google は報道機関 Bleeping Computer に対してこれを認め、Google Play プロテクトには NGate に対する保護が含まれていると述べました。