ESETは8月22日(現地時間)、「NGate Android malware relays NFC traffic to steal cash」において、プログレッシブWebアプリ(PWA: Progressive Web Apps)として配布された悪意のあるアプリからNFC(Near Field Communication)通信を中継する機能が発見されたと伝えた。この機能を操る攻撃者は、被害者のモバイルデバイスの近くにあるNFCカード(キャッシュカードなど)を悪用して、現金の引き出しや支払いが可能とされる。

  • NGate Android malware relays NFC traffic to steal cash

    NGate Android malware relays NFC traffic to steal cash

マルウェア「NGate」の概要

ESETは2024年3月にNFC中継機能を持つ悪意のあるアプリを発見。このNFC中継機能はドイツのダルムシュタット工科大学セキュアモバイルネットワーキング研究室の学生が開発した「NFCGate」と呼ばれる研究用アプリが持つ機能とされる。そのため、ESETは発見した悪意のあるアプリを「NGate」と名付けている。研究用アプリの「NFCGate」はGitHubの「nfcgate/nfcgate: An NFC research toolkit application for Android」にてコードが公開されている。

NFCGateはサーバを介する2台のAndroidデバイス間でNFC通信をエミュレートする機能を持つ。NFCカードの読み取りにルート化(デバイスの特権制御)は不要だが、NFCリーダーとの通信にルート化が必要とされる。ESETの分析によるとマルウェア「NGate」にはNFCカードの読み取り機能のみが存在し、被害者のデバイスをルート化しないとされる。

  • NFCGateの動作概念図 - 引用:GitHub「nfcgate/nfcgate」

    NFCGateの動作概念図 引用:GitHub「nfcgate/nfcgate」

チェコ警察が発表した攻撃手順は次のとおり(参考:「Pozor!!! - Podvodníci vymysleli nový systém - Policie České republiky」)。

  • フィッシング手法などを使用してマルウェア「NGate」をインストールさせる
  • NGateは正規の銀行アプリのように振る舞い、銀行アカウントへのログインを求め、認証情報を窃取する。この認証情報はキャッシュカードの限度額変更に使用できる
  • キャッシュカードの再登録が必要として、デバイスの背面にキャッシュカードを置くよう指示する
  • キャッシュカードの暗証番号の変更が必要として再入力を求め、暗証番号を窃取する
  • ATMで待機している攻撃者が現金を引き出す
  • 攻撃手順 - 引用:ESET

    攻撃手順 引用:ESET

対策

このサイバー攻撃では初期アクセスに複数のフィッシング手法が使用されている。そのため、モバイルデバイスのユーザーはフィッシング対策のベストプラクティスを実践することが推奨されている。