ظهرت مؤخراً تهديدات جديدة على نظام أندرويد تتعلق بفيروس خبيث يستخدم تقنية الاتصال القريب المدى (NFC) لسرقة بيانات الدفع من بطاقات الائتمان والخصم. يُعرف هذا الفيروس باسم NGate، وهو يمثل النوع الأول من البرمجيات الخبيثة التي يتم رصدها بهذا الشكل في البيئة العملية وفقاً لما ذكرته شركة الأمان ESET.
أداة مشروعة تتحول إلى تهديد
يستند فيروس NGate إلى أداة تُسمى NFCgate، التي طورها طلاب من جامعة دارمشتات في ألمانيا. كانت NFCgate أداة مشروعة تهدف إلى التقاط وتحليل بيانات NFC لأغراض بحثية، مثل تقييم أمان البروتوكولات أو دراسة سلوك حركة المرور تحت ظروف مختلفة. يمكن لأداة NFCgate التقاط حركة مرور NFC، إعادة بثها بين جهازين عبر خادم، إعادة تشغيل البيانات الملتقطة، واستنساخ المعلومات التعريفية.
الاحتيال والخداع
استغل المهاجمون قدرات NFCgate بشكل خبيث من خلال دمجها مع تقنيات التصيد الاحتيالي والهندسة الاجتماعية لسرقة أموال الضحايا من حساباتهم المصرفية عبر عمليات سحب نقدي احتيالية. استخدم المهاجمون رسائل نصية لإرسال إشعارات زائفة تتعلق بمشاكل ضريبية إلى ضحايا محتملين في التشيك، حيث تضمنت الروابط المرسلة تطبيقات ويب متقدمة (PWA) أو حزم APK تحاكي التطبيقات المصرفية لجمع بيانات الحساب البنكي.
التنفيذ ووسائل الاحتيال
بعد جمع بيانات الحساب من الضحايا، يتواصل المهاجمون معهم مدعين أنهم موظفون في البنك ويطلبون منهم تغيير رقم التعريف الشخصي (PIN) والتحقق من بطاقة الدفع. ثم يرسل المهاجمون رابطًا لتحميل تطبيق NGate، الذي يعرض موقعًا زائفًا يطلب معلومات الحساب البنكي من الضحايا. يتطلب التطبيق أيضًا تفعيل ميزة NFC على الهاتف الذكي للضحية ووضع بطاقة الدفع على ظهر الهاتف حتى يتمكن التطبيق من التعرف على البطاقة.
بمجرد الحصول على بيانات NFC من البطاقة، يرسل NGate هذه البيانات عبر خادم إلى جهاز أندرويد الخاص بالمهاجم، الذي يتعين أن يكون مكسور الحماية أو مخترقًا على مستوى النواة لاستخدام البيانات المرسلة. يتيح هذا البيانات للمهاجمين استنساخ بطاقة الضحية واستخدامها لإجراء مدفوعات وسحب أموال من أجهزة الصراف الآلي التي تدعم ميزة NFC.
في حال عدم نجاح هذه الطريقة، كان لدى المهاجمين خيار بديل باستخدام بيانات الحساب المصرفي التي حصلوا عليها من الضحية لتحويل الأموال إلى حسابات أخرى.
استخدامات خبيثة أخرى
يمكن استخدام برمجيات خبيثة مثل NGate لالتقاط وتحويل بيانات أي علامة NFC أو رمز عبر الوصول الفعلي إليها أو من خلال خداع المستخدمين لوضع العلامة على ظهر هاتف أندرويد مخترق. خلال اختباراتهم، تمكن الباحثون من استنساخ UID من علامة MIFARE Classic 1K، التي تستخدم عادة لتذاكر النقل العام وبطاقات الهوية وبطاقات العضوية.
الحماية والتدابير الأمنية
أكد المتحدث باسم جوجل أنه لم يتم العثور على تطبيقات تحتوي على هذا الفيروس على متجر Google Play، مشيرًا إلى أن مستخدمي أندرويد محميون تلقائيًا من الإصدارات المعروفة لهذا الفيروس بواسطة Google Play Protect، الذي يكون مفعلًا افتراضيًا على أجهزة أندرويد التي تحتوي على خدمات Google Play. يتمكن Google Play Protect من تحذير المستخدمين أو حظر التطبيقات المعروفة بسلوكيات خبيثة، حتى عندما تأتي هذه التطبيقات من مصادر غير رسمية.