- Nouvelle campagne d'attaque en Tchéquie combinant ingénierie sociale, hameçonnage et malware Android.
- Opérant depuis novembre 2023, les attaquants ont perfectionné leurs techniques en mars 2024 avec le déploiement du malware NGate.
- Cette innovation permet de cloner les données NFC des cartes de paiement et de les relayer sur l'appareil d'un attaquant.
- C'est la première observation d'un tel malware Android capable d'exploiter cette technique sans nécessiter le rootage des appareils des victimes.
Les chercheurs d’ESET ont identifié une nouvelle campagne malveillante ciblant les clients de trois banques tchèques. Le logiciel malveillant, baptisé NGate, capable de transmettre les données des cartes de paiement des victimes depuis leurs appareils Android infectés vers le téléphone Android de l'attaquant. L'objectif principal de cette opération est de permettre des usages frauduleux des cartes bancaires des victimes en exploitant les données NFC des cartes, donc le paiement sans contact.
Lukáš Štefanko, qui a découvert la nouvelle menace, souligne le caractère inédit de cette technique de relais NFC dans le domaine des logiciels malveillants Android. « La méthode s'inspire d'un outil nommé NFCGate, développé initialement par des étudiants de l'Université technique de Darmstadt en Allemagne pour l'analyse et la modification du trafic NFC. C'est cette similitude qui a conduit à nommer cette nouvelle famille de logiciels malveillants "NGate". »
Les victimes ont été piégées par une manipulation psychologique sophistiquée. Croyant communiquer avec leur banque au sujet d'une possible compromission de leur appareil, elles ont en réalité été amenées à télécharger et installer le logiciel malveillant sur leurs appareils Android. Le vecteur d'infection était un lien contenu dans un SMS frauduleux, prétendant concerner une déclaration d'impôts potentielle. Il est important de noter que NGate n'a jamais été disponible sur le Google Play Store officiel.
Le logiciel malveillant Android NGate est associé à un acteur malveillant opérant en République tchèque depuis novembre 2023. Notons que ses activités semblent avoir été interrompues suite à une arrestation en mars 2024. ESET Research a identifié trois banques tchèques majeures ciblées. Le malware était distribué via des sites éphémères imitant des plateformes bancaires légitimes ou des applications officielles du Google Play Store. Ces sites frauduleux ont été repérés par le service ESET Threat Intelligence, qui a promptement informé ses clients de la menace.
Les attaquants ont d'abord exploité les applications web progressives (PWA), comme précédemment découvert par ESET, avant d'évoluer vers une version plus avancée appelée WebAPK. Cette évolution a finalement abouti au déploiement du logiciel malveillant NGate, marquant une étape significative dans leur stratégie d'attaque.
Au-delà de ses capacités d’hameçonnage, NGate intègre un outil nommé NFCGate, détourné pour relayer des données NFC entre l'appareil de la victime et celui de l'attaquant. Bien que certaines fonctionnalités nécessitent un appareil rooté, le relais NFC fonctionne également sur des appareils non rootés. NGate incite les victimes à fournir des informations sensibles et à activer le NFC sur leur smartphone. Les utilisateurs sont ensuite invités à placer leur carte de paiement contre leur téléphone pour que l'application malveillante la reconnaisse. Cette technique pourrait potentiellement être exploitée par des attaquants pour copier et émuler des cartes de paiement, notamment dans des lieux publics bondés, bien que cela se limite généralement à de petits paiements sans contact.
« Assurer la protection contre des attaques aussi complexes nécessite l'utilisation de certaines mesures proactives contre des tactiques telles que l’hameçonnage, l'ingénierie sociale et les logiciels malveillants Android. Cela signifie vérifier les URL des sites Web, télécharger des applications à partir des magasins officiels, garder ses codes PIN secrets, utiliser des applications de sécurité sur ses smartphones, désactiver la fonction NFC lorsqu'elle n'est pas nécessaire, utiliser des étuis de protection pour les cartes bancaires ou avoir recours à des cartes virtuelles avec authentification », conseille Benoit GRUNEMWALD, Expert Cyber ESET France.
Pour plus d'informations techniques sur la nouvelle menace NFC, consultez l'article de blog « NGate Android malware relays NFC traffic to steal cash » sur WeLiveSecurity.com.
Vue d'ensemble de l'attaque.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.