NGate đại diện cho một mối đe dọa mạng phức tạp dựa trên Android, khai thác công nghệ NFC để thực hiện các giao dịch rút tiền mặt trái phép tại ATM mà không cần đánh cắp thẻ thanh toán vật lý. Thay vì trực tiếp đánh cắp thẻ, các tác nhân đe dọa sử dụng một kỹ thuật tấn công chuyển tiếp (relay attack) tinh vi, chặn các tín hiệu NFC từ điện thoại Android của nạn nhân và truyền chúng đến một thiết bị do kẻ tấn công kiểm soát đặt tại máy ATM. Điều này cho phép kẻ tấn công vượt qua các biện pháp bảo mật truyền thống và thực hiện các giao dịch gian lận.

Bản chất của NGate: Mã độc Android và Tấn công Chuyển tiếp NFC

Chiến dịch Lừa đảo Xã hội (Social Engineering) và Phân phối Mã độc

Chiến dịch NGate bắt đầu bằng các chiến thuật lừa đảo xã hội được dàn dựng kỹ lưỡng, được thiết kế để làm giảm cảnh giác của nạn nhân. Các mục tiêu nhận được tin nhắn lừa đảo qua email hoặc SMS, tự xưng là để giải quyết các vấn đề kỹ thuật hoặc sự cố bảo mật. Các tin nhắn này chứa liên kết hướng nạn nhân đến các trang web giả mạo, khuyến khích cài đặt một ứng dụng ngân hàng có vẻ hợp pháp.

Các mẫu được phân tích, như đã được CERT.pl báo cáo CERT.PL, cho thấy các tệp APK độc hại được phân phối qua các dịch vụ lưu trữ tệp, tạo ra nhiều con đường phân phối đa dạng.

Chiêu trò Giả mạo Ngân hàng và Xác thực Thẻ

Cuộc tấn công leo thang khi các tác nhân đe dọa giả mạo làm nhân viên ngân hàng thông qua các cuộc gọi điện thoại, tạo ra cảm giác tin cậy và hợp pháp giả tạo. Những kẻ lừa đảo này tuyên bố cần “xác nhận danh tính” và biện minh cho việc cần cài đặt ứng dụng độc hại. Để củng cố độ tin cậy, nạn nhân đồng thời nhận được tin nhắn SMS có vẻ như xác nhận danh tính của người gọi là nhân viên ngân hàng được cho là — một sự lừa dối phối hợp làm tăng đáng kể khả năng xâm nhập thành công.

Sau khi cài đặt, ứng dụng yêu cầu nạn nhân xác minh thẻ thanh toán của họ trực tiếp trong giao diện ứng dụng. Bước quan trọng này yêu cầu đặt thẻ vật lý vào đầu đọc NFC của điện thoại và nhập mã PIN của thẻ bằng bàn phím ảo trên màn hình. Quá trình xác minh có vẻ thông thường này trở thành thời điểm then chốt mà sự xâm nhập xảy ra, vì mã độc NGate sẽ thu thập toàn bộ dữ liệu trao đổi NFC của thẻ — thông tin giống hệt như luồng dữ liệu trong các giao dịch ATM hợp pháp.

Cơ chế Kỹ thuật của Mã độc NGate

Nguyên lý Hoạt động của Mã độc NFC

Mã độc NGate tự đăng ký là một dịch vụ thanh toán Host Card Emulation (HCE) trên Android. Điều này cho phép điện thoại hoạt động như một thẻ thanh toán ảo. Địa chỉ máy chủ C2 (Command and Control) và các tham số hoạt động của mã độc được ẩn trong một tài sản được mã hóa đi kèm với ứng dụng.

Mã độc giải mã tài sản này bằng cách sử dụng một khóa được tạo ra từ băm SHA-256 của chứng chỉ ký APK. Phân tích các mẫu bị thu giữ đã tiết lộ một điểm cuối cơ sở hạ tầng C2 đang hoạt động.

Chỉ số Compromise (IOC)

Sau đây là thông tin về cơ sở hạ tầng Command and Control (C2) được phát hiện liên quan đến NGate:

• Địa chỉ IP:91.84.97.13
• Cổng:5653

Giao thức Truyền dữ liệu và Tấn công Replay

Khi nạn nhân chạm thẻ của họ, mã độc NGate sẽ thu thập tất cả các trao đổi NFC và truyền chúng cùng với mã PIN đã nhập đến máy chủ C2 của kẻ tấn công hoặc trực tiếp đến một thiết bị do kẻ tấn công kiểm soát đặt tại máy ATM. Kẻ tấn công sau đó phát lại dữ liệu thẻ này kết hợp với mã PIN cho thiết bị đầu cuối ATM, vượt qua các cơ chế xác thực và rút tiền mặt.

Giao thức giao tiếp sử dụng một định dạng khung đơn giản bao gồm độ dài khung (4 byte), mã opcode (4 byte) và phần thân tin nhắn. Đáng chú ý, mẫu này đã truyền lưu lượng truy cập qua TCP dạng văn bản thuần túy (plaintext) mà không sử dụng mã hóa TLS. Điều này làm cho việc chặn bắt trở nên dễ dàng đối với các nhà phân tích mạng khi theo dõi mối đe dọa mạng này.

Biện pháp Phòng ngừa và An ninh Mạng

Khuyến nghị cho Người dùng Cá nhân

Các tổ chức và cá nhân nên triển khai các chiến lược giảm thiểu ngay lập tức để bảo vệ mình khỏi mối đe dọa mạng NGate. Luôn tải xuống các ứng dụng ngân hàng độc quyền từ các cửa hàng ứng dụng chính thức như Google Play Store hoặc Apple App Store, vì các nền tảng này duy trì các quy trình xem xét bảo mật giúp giảm sự phân phối các ứng dụng độc hại. Điều này là một phần quan trọng của việc duy trì an ninh mạng cá nhân.

Ngoài ra, không bao giờ cung cấp thông tin cá nhân qua các cuộc gọi điện thoại không được yêu cầu; thay vào đó, hãy cúp máy và tự gọi ngân hàng của bạn bằng cách sử dụng các số từ các bản sao kê hoặc trang web chính thức. Phương pháp xác minh này giúp xác nhận rõ ràng tính xác thực của người gọi và ngăn chặn thành công các chiến thuật lừa đảo xã hội.

Khuyến nghị cho Các Tổ chức Tài chính

Các tổ chức ngân hàng nên cảnh báo khách hàng về NGate thông qua các thông báo bảo mật. Đồng thời, cần giáo dục người dùng về bối cảnh tấn công mạng đang phát triển và các mối đe dọa như NGate. Việc chủ động cung cấp thông tin sẽ giúp tăng cường khả năng phòng thủ tổng thể của cộng đồng người dùng trước các cuộc tấn công mạng.

Đảm bảo rằng các bản cập nhật bảo mật được áp dụng kịp thời cho các hệ thống nội bộ cũng như cung cấp hướng dẫn rõ ràng cho khách hàng về các dấu hiệu nhận biết mã độc và các chiến dịch lừa đảo. Nâng cao nhận thức về mối đe dọa mạng là chìa khóa để bảo vệ dữ liệu và tài sản.