Das Sicherheitsunternehmen ESET hat kürzlich über eine Malware berichtet, die hauptsächlich auf Android-Benutzer abzielt und einen Social-Engineering-Angriff neben gestohlenem NFC-Verkehr nutzt, um Bankdaten von Benutzern zu stehlen. Die Malware mit dem Namen Ngate ermöglicht es Angreifern, Geld von den Bankkonten betroffener Benutzer abzuheben. Der Angriff ist insofern einzigartig, als er aus mehreren beweglichen Teilen besteht und Berichten zufolge der erste in freier Wildbahn beobachtete Angriff ist, der NFC-Abfangen als Teil eines vielschichtigen Ansatzes integriert.

Die Funktionsweise des Angriffs ist relativ einfach. Alles beginnt damit, einen Benutzer davon zu überzeugen, eine gefälschte Version der Banking-App seiner Wahl zu installieren. Dies wird durch böswillige Werbung oder progressive Web-Apps erreicht, die die offiziellen Benutzeroberflächen von Google Play und ausgewählten Banking-Apps nachahmen, um Benutzer dazu zu verleiten, etwas zu installieren, was ihrer Meinung nach etwas anderes ist, normalerweise ein kritisches Sicherheitsupdate. Dies ist ein zweiteiliger Prozess; Teil eins zielt darauf ab, Benutzer dazu zu bringen, Zugriff auf ihre Hardware und Bankdaten zu gewähren, und Teil zwei installiert die eigentliche Schadsoftware.

Die Malware basiert auf einem Open-Source-Toolset namens NFCGate, das von deutschen Studenten mit dem Ziel entwickelt wurde, den NFC-Verkehr auf Host-Geräten analysieren oder verändern zu können. NGate hingegen ist eine App, die ausschließlich zum Zuhören und Senden dient. Wenn das infizierte Gerät in die Nähe einer NFC-fähigen Bankkarte oder eines anderen NFC-fähigen Tags oder einer anderen NFC-fähigen Karte gebracht wird, werden die über NFC übertragenen Informationen vom Gerät erfasst und an die Angreifer weitergeleitet. Von dort aus können sie ein Android-Gerät mit aktivierten Root-Rechten verwenden, um diesen NFC-Ausgang zu klonen. Dadurch können sie einem Geldautomaten oder einer anderen NFC-Buchse vorgaukeln, dass sie diese Karte oder diesen Tag in der Hand halten. Zusammen mit den im ersten Schritt gestohlenen Bankdaten können sie so auf die PIN des Opfers zugreifen, diese ändern und Geld abheben.

Es wurde festgestellt, dass dieser Angriff in Tschechien seit mindestens November 2023 aktiv ist. Diese Taktik scheint in begrenztem Umfang eingesetzt worden zu sein und zielte über sechs gefälschte Apps auf Kunden von drei tschechischen Banken ab. Einer der Personen, die die Malware nutzten, um Geld zu stehlen, wurde im März 2024 in Prag festgenommen, wobei er umgerechnet etwa 6.500 US-Dollar an gestohlenen Geldern bei sich hatte. Seine Identität und Nationalität müssen noch bekannt gegeben werden. In dem Bericht heißt es, dass dieser Angriff offenbar seit der Festnahme nicht mehr eingesetzt wurde.

Während ESET davon ausgeht, dass die Aktivität zum Stillstand gekommen ist, wäre es für einen anderen Angreifer nicht allzu schwierig, das gleiche Toolset und den gleichen Ansatz zu übernehmen und es dann einem neuen Publikum zugänglich zu machen. Es ist erwähnenswert, dass im offiziellen Google Play Store keine Software zu finden ist, die diese spezielle Malware enthält. Google bestätigte dies gegenüber der Nachrichtenagentur Bleeping Computer und erklärte, dass Google Play Protect Schutzmaßnahmen gegen NGate enthält.