Cybersicherheitsexperten von ESET haben eine neue, hochgefährliche Android-Malware namens NGate entdeckt. Diese Schadsoftware nutzt die NFC-Technologie (Near Field Communication), um Finanzdaten zu stehlen und unauthorisierte Transaktionen durchzuführen. Die Entdeckung unterstreicht die wachsende Sophistikation von Mobile-Banking-Trojanern und die Notwendigkeit erhöhter Wachsamkeit bei der Nutzung von NFC-fähigen Geräten.
Funktionsweise und Verbreitungsmethoden von NGate
NGate, aktiv seit November 2023, ist eng verknüpft mit einer kürzlich von ESET dokumentierten Zunahme von Progressive Web Applications (PWA) und WebAPK-basierten Angriffen. Die Malware wird typischerweise durch folgende Methoden verbreitet:
- Phishing-SMS
- Automatisierte Anrufe mit voraufgezeichneten Nachrichten
- Bösartige Werbeanzeigen
Ziel dieser Taktiken ist es, Opfer zur Installation schädlicher PWAs und anschließend WebAPKs zu verleiten. Diese Anwendungen erfordern keine expliziten Berechtigungen bei der Installation und nutzen stattdessen Browser-APIs, um auf die Hardware des Geräts zuzugreifen.
Technische Details: NFCGate-Komponente
Das Herzstück von NGate ist die Integration der Open-Source-Komponente NFCGate. Ursprünglich für akademische NFC-Experimente entwickelt, ermöglicht NFCGate das Abfangen, Weiterleiten, Abspielen und Klonen von NFC-Daten – oft ohne Root-Zugriff. NGate nutzt diese Funktionen, um:
- NFC-Daten von Zahlungskarten in der Nähe abzufangen
- Abgefangene Daten an Angreifer zu übermitteln
- Virtuelle Karten auf Angreifergeräten zu erstellen
- Unauthorisierte Abhebungen an NFC-fähigen Geldautomaten durchzuführen
- Betrügerische PoS-Zahlungen zu tätigen
Soziale Ingenieurskunst: Der Schlüssel zum Erfolg
Obwohl für Bargeldabhebungen meist ein PIN erforderlich ist, setzen die Angreifer auf Social Engineering-Taktiken, um diese zu erlangen. Ein typisches Szenario:
- Installation der Phishing-PWA/WebAPK
- Betrügerischer Anruf, der sich als Bankmitarbeiter ausgibt
- Versenden einer SMS mit Link zum NGate-Download unter dem Vorwand einer „Sicherheitsüberprüfung“
- Aufforderung zur Kartenscannung und PIN-Eingabe zur „Verifizierung“
Durch diese Methode erhalten die Angreifer sowohl die Kartendaten als auch den PIN-Code.
Weitere Bedrohungen durch NGate
ESET-Forscher Lukas Stefanko demonstrierte, dass NGate auch zum Scannen und Abfangen von Kartendaten aus Geldbörsen und Rucksäcken in der Umgebung genutzt werden kann. Darüber hinaus besteht die Möglichkeit, eindeutige IDs bestimmter NFC-Zugangskarten und -Token zu klonen, was potenziell unbefugten Zugang zu geschützten Bereichen ermöglicht.
Präventivmaßnahmen und Empfehlungen
Um sich vor NGate und ähnlichen Bedrohungen zu schützen, empfehlen Cybersicherheitsexperten folgende Maßnahmen:
- Deaktivieren Sie NFC, wenn es nicht aktiv genutzt wird
- Überprüfen und beschränken Sie App-Berechtigungen
- Installieren Sie Banking-Apps nur aus offiziellen Quellen (Google Play Store, offizielle Bankwebsites)
- Seien Sie vorsichtig bei der Installation von WebAPKs
- Bleiben Sie wachsam gegenüber Phishing-Versuchen und unerwarteten Kontaktaufnahmen „von Ihrer Bank“
Die Entdeckung von NGate unterstreicht die ständige Evolution von Cyber-Bedrohungen im mobilen Bereich. Während Strafverfolgungsbehörden bereits erste Erfolge bei der Verfolgung der Täter verzeichnen konnten, bleibt erhöhte Wachsamkeit für alle Android-Nutzer unerlässlich. Die potenziellen Auswirkungen gehen weit über finanzielle Verluste hinaus und umfassen auch Risiken für die physische Sicherheit durch möglichen unbefugten Zugang zu geschützten Bereichen. Eine fundierte Aufklärung über moderne Cyber-Bedrohungen und die konsequente Anwendung von Sicherheitsmaßnahmen sind der Schlüssel zum Schutz vor solch ausgeklügelten Angriffen wie NGate.