NGate, ödeme kartlarını fiziksel olarak çalmadan yetkisiz ATM’lerden para çekme işlemine olanak sağlamak için NFC teknolojisini kullanan gelişmiş Android tabanlı bir tehdidi temsil ediyor.
Tehdit aktörleri, kartları doğrudan çalmak yerine, kurbanın Android telefonundaki kartın NFC iletişimini kesen ve bunları ATM’de bulunan, saldırgan tarafından kontrol edilen bir cihaza ileten, geleneksel güvenlik önlemlerini atlayan ve hileli işlemlere olanak tanıyan ustaca bir geçiş saldırısı kullanıyor.
NGate kampanyası, kurbanların uyanıklığını azaltmak için tasarlanmış, dikkatle düzenlenmiş sosyal mühendislik taktikleri aracılığıyla başlatılıyor.
Hedefler, e-posta veya SMS aracılığıyla, teknik sorunları veya güvenlik olaylarını ele aldığını iddia eden kimlik avı mesajları alıyor; bağlantıların kurbanları meşru bir bankacılık uygulaması gibi görünen bir uygulamayı yüklemeyi teşvik eden sahte sayfalara yönlendirdiği belirtiliyor.
Analiz edilen örnekler, dosya barındırma hizmetleri aracılığıyla dağıtılan ve birden fazla dağıtım yolu oluşturan kötü amaçlı APK’ları gösteriyor.
Tehdit aktörleri telefon görüşmelerinde banka personeli gibi davranarak sahte bir otorite ve meşruiyet duygusu yarattığında saldırı yoğunlaşıyor.
Bu dolandırıcılar “kimliği doğruladıklarını” iddia ediyor ve kötü amaçlı uygulamaya duyulan ihtiyacı haklı çıkarıyor. Güvenilirliği güçlendirmek için, mağdurlar aynı anda arayanın iddia edilen bir banka çalışanı olduğunu doğrulayan SMS mesajları alıyor; bu, başarılı bir uzlaşma olasılığını önemli ölçüde artıran koordineli bir aldatmaca.
Uygulama yüklendikten sonra mağdurlardan ödeme kartlarını doğrudan uygulama arayüzünden doğrulamalarını istiyor. Bu önemli adım, fiziksel kartı telefonun NFC okuyucusuna yerleştirmeyi ve ekrandaki tuş takımını kullanarak kartın PIN kodunu girmeyi gerektirir.
Görünüşte rutin olan bu doğrulama süreci, kötü amaçlı yazılımın kartın tüm NFC veri alışverişini (meşru ATM işlemleri sırasında akan bilgilerin aynısı) ele geçirmesiyle, güvenliğin ihlal edildiği önemli bir an haline geliyor.
NFC Rölesi ve C2 İletişimi
NGate kötü amaçlı yazılımı, kendisini Android’de bir Ana Bilgisayar Kartı Emülasyonu (HCE) ödeme hizmeti olarak kaydederek telefonun sanal bir ödeme kartı gibi davranmasını sağlıyor.
Kötü amaçlı yazılımın sunucu adresi ve operasyonel parametreleri, uygulamayla birlikte gelen şifrelenmiş bir varlık içinde gizli kalır ve APK’nın imzalama sertifikası SHA-256 karmasından türetilen bir anahtar kullanılarak şifresi çözülür.
Yakalanan örneklerin analizi, 5653 numaralı bağlantı noktasında IP 91.84.97.13’te canlı bir C2 altyapı uç noktası ortaya çıkardı. Kurbanlar kartlarına dokunduğunda, kötü amaçlı yazılım tüm NFC alışverişlerini yakalar ve bunları girilen PIN ile birlikte saldırganın C2 sunucusuna veya doğrudan ATM’de konumlanan saldırgan tarafından kontrol edilen bir cihaza iletir.
Saldırgan daha sonra bu kart verilerini PIN ile birlikte ATM terminaline göndererek kimlik doğrulama mekanizmalarını atlıyor ve nakit çekiyor.
İletişim protokolü, çerçeve uzunluğu (4 bayt), işlem kodu (4 bayt) ve mesaj gövdesinden oluşan basit çerçeveli bir format kullanır. Özellikle bu örnek, trafiği TLS şifrelemesi olmadan düz metin TCP üzerinden iletiyor ve tehdidi takip eden ağ analistleri için müdahaleyi kolaylaştırıyor.
NGate ve Benzeri Tehditlere Karşı Koruma
Kuruluşlar ve bireyler acil azaltma stratejileri uygulamalıdır. Bankacılık uygulamalarını yalnızca resmi uygulama mağazalarından (Google Play Store veya Apple App Store) indirin; çünkü bu platformlar, kötü amaçlı uygulama dağıtımını azaltan güvenlik inceleme süreçlerini sürdürür.
Ayrıca, istenmeyen telefon aramalarında asla kişisel bilgilerinizi vermeyin; bunun yerine telefonu kapatın ve resmi açıklamalardaki veya web sitelerindeki numaraları kullanarak bankanızı bağımsız olarak arayın. Bu doğrulama yöntemi, arayanın gerçekliğini kesin olarak doğrular ve sosyal mühendislik başarısını engeller.
Bankacılık kurumları, güvenlik iletişimleri yoluyla müşterilerini NGate konusunda uyarmalı ve kullanıcıları bu gelişen tehdit ortamı konusunda eğitmelidir.
Uzlaşma Göstergeleri
| Gösterge Türü | Değer |
|---|---|
| MD5 Karma | 2cee3f603679ed7e5f881588b2e78ddc |
| MD5 Karma | 701e6905e1adf78e6c59ceedd93077f3 |
| MD5 Karma | 2cb20971a972055187a5d4ddb4668cc2 |
| MD5 Karma | b0a5051df9db33b8a1ffa71742d4cb09 |
| MD5 Karma | bcafd5c19ffa0e963143d068c8efda92 |
| IP Adresi: Bağlantı Noktası | 91.84.97.13:5653 |
| URL’si | dosyalar[.]fm/u/yfwsanu886 |
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.