tin bảo mật mới nhất ghi nhận một biến thể NGate malware nguy hiểm hơn đang ẩn trong ứng dụng thanh toán NFC bị trojan hóa. Biến thể này nhắm đến thiết bị Android, giả mạo ứng dụng hợp lệ để đánh cắp dữ liệu thẻ thanh toán và mã PIN thông qua kênh NFC.
NGate malware và cơ chế giả mạo ứng dụng thanh toán
Ứng dụng hợp pháp bị lợi dụng trong chiến dịch này là HandyPay, một ứng dụng Android có thật trên Google Play từ năm 2021. Ứng dụng gốc được thiết kế để chuyển tiếp dữ liệu NFC giữa hai thiết bị cho các nhu cầu như chia sẻ thẻ.
Kẻ tấn công đã sao chép ứng dụng này, chèn mã độc vào bản cài đặt và phân phối bên ngoài Google Play Store. Sau khi được cài đặt, phiên bản trojanized sẽ âm thầm đọc dữ liệu thẻ thanh toán qua NFC và chuyển tiếp về thiết bị do kẻ tấn công kiểm soát.
Dữ liệu bị đánh cắp có thể được dùng để thực hiện giao dịch không tiếp xúc tại ATM hoặc thanh toán trái phép. Đây là một rủi ro bảo mật trực tiếp đối với người dùng sử dụng thanh toán bằng thẻ trên Android.
Kỹ thuật tấn công của NGate malware
Trong quá trình lây nhiễm, ứng dụng giả mạo yêu cầu được đặt làm ứng dụng thanh toán NFC mặc định trên thiết bị. Yêu cầu này khó bị nghi ngờ vì phù hợp với chức năng hiển thị của HandyPay.
Người dùng tiếp tục được yêu cầu nhập PIN thẻ thanh toán và chạm thẻ vật lý vào mặt sau điện thoại. Tại thời điểm đó, NGate malware đọc dữ liệu thẻ qua NFC và chuyển qua dịch vụ relay của HandyPay đến thiết bị của kẻ tấn công.
Thiết bị nhận dữ liệu được liên kết với một địa chỉ email cố định được mã hóa sẵn trong ứng dụng độc hại. Đây là một chi tiết kỹ thuật quan trọng cho thấy cách điều phối dữ liệu trong chuỗi tấn công.
Đánh cắp dữ liệu qua HTTP và C2
Ngoài dữ liệu NFC, NGate malware còn trích xuất mã PIN của nạn nhân và gửi lên máy chủ command-and-control (C2) qua HTTP. Điều này cung cấp đủ thông tin để thực hiện thanh toán không tiếp xúc và rút tiền tại ATM.
Vì ứng dụng không cần quyền đặc biệt nào trên thiết bị để relay dữ liệu NFC, cơ chế phát hiện dựa trên quyền ứng dụng thông thường có thể không nhận diện được hành vi này.
Phân phối qua website giả mạo và trang Google Play giả
Chiến dịch được phát tán qua hai kênh riêng biệt. Kênh thứ nhất là một website xổ số giả mạo, hiển thị trò chơi thẻ cào đã được dàn dựng để người dùng luôn “trúng” phần thưởng và sau đó được hướng dẫn tải ứng dụng độc hại.
Kênh thứ hai là một trang giả mạo Google Play, phát tán malware dưới tên Protecao Cartao. Việc sử dụng nhiều kênh phân phối giúp tăng khả năng tiếp cận nạn nhân và che giấu nguồn phát tán.
Hai website được lưu trữ trên cùng một tên miền, cho thấy khả năng cao toàn bộ chiến dịch được điều phối từ một hạ tầng duy nhất.
NGate malware và dấu hiệu mã độc được tạo hỗ trợ bởi AI
Các nhà nghiên cứu từ WeLiveSecurity đã xác định biến thể NGate malware này và nhận thấy mã độc có dấu hiệu rõ ràng của việc được hỗ trợ bởi AI khi viết mã. Dấu hiệu được nêu gồm các biểu tượng cảm xúc còn sót trong log, vốn thường xuất hiện trong văn bản do mô hình ngôn ngữ lớn tạo ra.
Chi tiết này cho thấy chuỗi phát triển mã độc đang thay đổi, nhưng tác động kỹ thuật cốt lõi vẫn là đánh cắp dữ liệu thanh toán qua NFC và chuyển tiếp bí mật đến hạ tầng do kẻ tấn công kiểm soát.
Tham khảo phân tích gốc từ ESET: ESET research on the new NGate variant.
Hành vi và ảnh hưởng của NGate malware
Biến thể này hoạt động theo mô hình lừa người dùng cấp quyền sử dụng chức năng NFC mặc định, sau đó đánh cắp dữ liệu thẻ và mã PIN mà không cần khai thác lỗ hổng hệ điều hành. Do đó, NGate malware tập trung vào lạm dụng niềm tin của người dùng và hành vi cài đặt ứng dụng ngoài nguồn chính thức.
Ảnh hưởng chính gồm:
- Đọc và chuyển tiếp dữ liệu thẻ qua NFC.
- Thu thập và gửi PIN thẻ đến máy chủ C2.
- Hỗ trợ giao dịch không tiếp xúc trái phép.
- Hỗ trợ rút tiền ATM nếu dữ liệu thẻ bị sử dụng thành công.
Khuyến nghị phòng thủ trước NGate malware
Người dùng chỉ nên cài đặt ứng dụng thanh toán từ nguồn chính thức như Google Play Store và tránh cài từ website bên thứ ba hoặc liên kết được gửi qua ứng dụng nhắn tin. Đây là biện pháp trực tiếp để giảm nguy cơ NGate malware xâm nhập.
Kích hoạt Google Play Protect trên thiết bị Android giúp tăng khả năng phát hiện các biến thể đã biết. Ngoài ra, người dùng không nên nhập PIN thẻ thanh toán vào ứng dụng mới cài hoặc ứng dụng không xác thực.
Nếu một ứng dụng thanh toán yêu cầu quyền NFC nhưng không đến từ nguồn tin cậy, cần gỡ cài đặt ngay và thông báo cho ngân hàng hoặc đơn vị phát hành thẻ. Với các kịch bản NGate malware, phản ứng sớm là yếu tố quan trọng để giảm thiểu tổn thất.
Dấu hiệu đáng chú ý trong điều tra
- Ứng dụng giả mạo mang tên HandyPay hoặc Protecao Cartao.
- Website giả mạo xổ số hoặc trang giả Google Play.
- Yêu cầu đặt làm ứng dụng NFC mặc định.
- Yêu cầu nhập PIN sau khi quét thẻ qua NFC.
- Giao tiếp với C2 server qua HTTP.
Trong bối cảnh tin tức an ninh mạng liên quan đến thiết bị di động, NGate malware cho thấy các chiến dịch nhắm vào thanh toán NFC tiếp tục khai thác mô hình phân phối ứng dụng giả và chuyển tiếp dữ liệu theo thời gian thực. Việc giám sát nguồn cài đặt, xác thực ứng dụng và kiểm soát hành vi NFC là các bước cơ bản để giảm nguy cơ bảo mật.
