كشف باحثون في مجال الأمن السيبراني عن برمجية خبيثة جديدة تستهدف الهواتف التي تعمل بنظام تشغيل “أندرويد”. تم تصميم هذه البرمجية لسرقة بيانات بطاقات الدفع من خلال استخدام قارئ البيانات بتقنية الاتصال قريب المدى NFC المدمج في الأجهزة المستهدفة.

ووفقاً لتقرير نشرته شركة ESET للأمن المعلوماتي، تعمل البرمجية الخبيثة على إرسال البيانات المسروقة إلى المهاجمين، مما يتيح لهم استنساخ بطاقة الضحية واستخدامها في أجهزة الصراف الآلي أو نقاط البيع. أطلقت ESET على هذه البرمجية اسم “NGate”، وهي تستخدم أداة مفتوحة المصدر تُسمى NFCGate، والمخصصة لالتقاط وتحليل أو تعديل حركة مرور البيانات عبر تقنية NFC.

أوضح لوكاس ستيفانكو، الباحث الرئيسي في شركة ESET، أن هذه هي المرة الأولى التي يُرصد فيها استخدام برمجية خبيثة على أندرويد تستفيد من هذه الإمكانية في العالم الحقيقي. يمكن لثغرة NGate نقل بيانات NFC من بطاقة الضحية عبر الجهاز المصاب إلى هاتف ذكي تابع للمهاجم، مما يمكّن الأخير من استنساخ البطاقة وسحب الأموال من أجهزة الصراف الآلي.

يستخدم المهاجمون سيناريوهات تصيد متعددة، حيث يحاولون دفع الضحايا لتثبيت تطبيقات ويب مزيفة بصيغة Progressive Web App (PWA)، من خلال رسائل نصية أو إعلانات رقمية تحتوي على روابط تحميل. تعتمد هذه الروابط على تصميم صفحات ويب تنتحل صفة مواقع بنوك موثوقة أو متجر “جوجل بلاي” Google Play، وعندما يقع الضحية في الفخ، يُطلب منه إدخال بياناته البنكية بالكامل، والتي تصل مباشرة إلى خادم المخترق.

تبدأ المرحلة الثانية من الهجوم عندما يتصل المهاجم بالضحية ليخبره بأن حسابه البنكي قد تعرض للاختراق بسبب تثبيت برمجية خبيثة على هاتفه. يُطلب من الضحية إجراء إعادة توثيق لبيانات حسابه عبر تثبيت تطبيق جديد على الهاتف، والذي يكون في الواقع برمجية خبيثة تُفعّل أداة NFCGate.

بمجرد تثبيت التطبيق، يُطلب من الضحية تفعيل NFC ومسح البطاقة. من خلال ذلك، يتمكن المهاجم من إنشاء نسخة مادية من البطاقة البنكية الخاصة بالضحية، مما يسمح باستخدامها في السحب من آلات الصراف الآلي أو الدفع في المتاجر.

ذكرت شركة ESET أن برمجية NGate استهدفت ثلاث بنوك في التشيك منذ نوفمبر الماضي، وتم التعرف على ستة تطبيقات منفصلة لـ NGate تم توزيعها من مصادر خارج متجر “جوجل بلاي” بين نوفمبر 2023 ومارس من العام الجاري. وأوضح التقرير أن حملة NGate انتهت في مارس الماضي بعد القبض على شخص يبلغ من العمر 22 عاماً في التشيك وهو يستخدم بطاقات بنكية مزيفة.

أكد المتحدث باسم جوجل في تصريحات صحافية أنه لا توجد تطبيقات تحتوي على هذه البرمجية على متجر “جوجل بلاي” بناءً على الاكتشافات الحالية، مشيراً إلى أن مستخدمي أندرويد محميون تلقائياً ضد النسخ المعروفة من هذه البرمجية عبر خدمة الحماية Google Play Protect.