NGate: Android Kullanıcılarının Kabusu Olmaya Aday Kötü Amaçlı Yazılım!
Android kullanıcıları, cüzdanlarına ve kart bilgilerine göz diken yeni bir tehlikeyle karşı karşıya: NGate adlı kötü amaçlı yazılım! Bu sinsi yazılım, kredi kartı verilerini çalmak için NFC çiplerini kullanarak, kullanıcıların hayatını zorlaştırmayı hedefliyor. NGate, NFC çipi tarafından okunan verileri bir saldırganın cihazına aktararak, kurbanların kartlarını taklit etmelerine ve yetkisiz ödemeler veya çekimler yapmalarına olanak tanıyor.
Bu kötü amaçlı yazılımın etkileri, Kasım 2023‘ten beri aktif olan bir kampanya ile kendini gösteriyor. Yakın tarihli bir güvenlik raporuna göre, Çekya’daki kullanıcıların bankacılık bilgilerini çalmak için ilerici web uygulamaları (PWA’lar) ve gelişmiş WebAPK’lar kullanımı artış göstermiş durumda. NGate, sadece kredi kartı verilerini çalmakla kalmıyor, aynı zamanda doğrudan nakit hırsızlığına da zemin hazırlıyor. Yani bu durum, daha önce karşılaşılan diğer kötü amaçlı yazılımlardan oldukça farklı!
NGate Kötü Amaçlı Yazılımı, NFC Çipi ile Kart Verilerini Nasıl Çalar?
Saldırılar, genellikle kötü amaçlı metin mesajları, otomatik aramalar veya yanıltıcı reklamlarla başlıyor. Bu tür iletişimlerle kullanıcılar, kötü amaçlı bir PWA veya WebAPK yüklemeye ikna ediliyor. Görünüşte acil güvenlik güncellemeleri sunan bu uygulamalar, aslında istemci erişim kimlik bilgilerini çalmaktan başka bir şey değil!
Bu kötü amaçlı uygulamalar, izin gerektirmeden çalışabiliyor ve cihazın donanımına erişmek için tarayıcının API’sini kötüye kullanıyor. Kimlik avı adımını takiben, kurbanlar NGate’i yüklemeye ikna ediliyor. NGate, ödeme kartlarından NFC verilerini yakalamak için açık kaynaklı bir araç olan NFCGate‘i kullanıyor. Saldırgan, elde edilen bu verileri sanal bir kart olarak kaydedip, ATM’lerde veya PoS sistemlerinde tekrar kullanabiliyor.
Kötü amaçlı yazılım araştırmacısı Lukas Stefanko, NGate’in cüzdanlarda ve çantalarda kart verilerini nasıl yakalayabildiğini gösterdi. Bu kötü niyetli yazılım, bir saldırganın temassız ödemeler yapmasına veya NFC erişim kartlarını klonlamasına olanak tanıyor.
Kötü Amaçlı Yazılım Kart PIN’ini Nasıl Elde Ediyor?
ATM’lerden nakit çekmek için bir kartın PIN koduna ihtiyaç olduğu malum. Araştırmalar, dolandırıcıların bu hassas bilgiyi sosyal mühendislik yoluyla ele geçirdiğini ortaya koyuyor. PWA/WebAPK kimlik avı adımından sonra, dolandırıcılar kurbanı arayarak, kendilerini banka çalışanı gibi tanıtıyorlar. Kurbanı bir güvenlik olayı hakkında bilgilendiriyor ve NGate’i indirmek için bir bağlantı içeren bir SMS gönderiyorlar.
Kurban, kartını taradıktan sonra kötü amaçlı yazılımın kimlik avı arayüzünde “doğrulamak” için PIN kodunu giriyor. Bu kritik bilgiler daha sonra saldırgana iletiliyor. Çek polisi, bu çekimleri gerçekleştiren bir siber suçluyu yakalamayı başardı; ancak bu taktik, Android kullanıcıları için hâlâ büyük bir tehdit oluşturuyor.
Uzmanlar ayrıca erişim etiketlerinin, taşıma biletlerinin ve kimlik rozetlerinin kopyalanabileceği konusunda da uyarıyor. Bu riski azaltmak için, cihazınızın NFC çipini devre dışı bırakmayı düşünebilirsiniz. Eğer NFC’nin etkinleştirilmesi gerekiyorsa, uygulama izinlerini dikkatlice gözden geçirin, resmi kaynaklardan banka uygulamaları yüklemeye özen gösterin ve WebAPK’lara karşı dikkatli olun. Unutmayın, WebAPK’lar genellikle küçük boyutlu olup, tarayıcılardan yüklenir ve standart Android uygulamaları gibi ‘/data/app’ altında görünmez!