اكتشف خبراء الأمن السيبراني في شركة ESET هجوما إلكترونيا خطيرا يستهدف مستخدمي هواتف أندرويد، يعتمد هذا الهجوم على برنامج ضار جديد أطلق عليه اسم “إن جيت” (NGate)، يتميز بقدرته على سرقة بيانات بطاقات الائتمان بشكل مباشر من هواتف الضحايا.
ويعمل هذا البرنامج الخبيث عن طريق تثبيت تطبيق مزيف على الهاتف المصاب، ثم ينقل البيانات المسروقة إلى هاتف آخر يتحكم به الهاكر.
سرقة بيانات البطاقات
لا تتوقف خطورة هذا الهجوم عند سرقة بيانات البطاقات، بل تتعداها إلى تمكين المهاجمين من سحب الأموال بشكل مباشر من أجهزة الصراف الآلي.
وذلك بفضل قدرة برنامج “إن جيت” على نقل بيانات الاتصال قريب المدى (NFC) من بطاقة الضحية إلى هاتف المهاجم، مما يتيح له محاكاة البطاقة الحقيقية وإجراء عمليات السحب النقدي دون الحاجة إلى البطاقة الفعلية.
هاكرز يستغلون ميزة NFC بـ أندرويد لسرقة الحسابات المصرفية
بعد حصول المهاجم على البيانات يجري المعاملات المالية عبر أجهزة الصراف الآلي، وفي حال فشلها، يستخدم الهاكر خطته الاحتياطية لتحويل الأموال من حسابات الضحايا إلى حسابات مصرفية أخرى.
وتعتمد تقنية ترحيل NFC الجديدة، على أداة تسمى NFCGate، التي جرى تصميمها لرصد حركة مرور NFC أو تحليلها أو تغييرها عن بعد، وأطلق عليها باحثو شركة ESET، اسم NGate وهي من أحدث عائلات البرامج الضارة العاملة بنظام أندرويد، والتي تعمل على نقل بيانات NFC بين جهازين وإعادة تشغيلها.
وبعد أن يثبت الضحية البرامج الضارة على هاتفه، فور وقوعه في خدعة الهاكر التي تجعله يعتقد بأنه يتواصل مع أحد ممثلي خدمة العملاء بالبنك الذي يتعامل معه، وأن جهازه قد تعرض للاختراق.
يبدأ المهاجمون عملية الاحتيال بإرسال رسالة نصية قصيرة إلى ضحاياهم، تدعي احتواءها على معلومات هامة حول الضرائب، مثل إقرار ضريبي.
وتحتوي هذه الرسالة على رابط مخادع يحيل الضحية إلى موقع ويب مزيف، ينتحل صفة موقع مصرفي أو تطبيق مصرفي معروف، وبمجرد الضغط على الرابط وتنزيل التطبيق المزيف، يتم تثبيته على هاتف الضحية دون علمه، مما يمهد الطريق لسرقة بياناته.
برنامج خبيث يهدد ملايين المستخدمين حول العالم
من الجدير بالذكر أن الباحثين لم يعثروا على أي دليل يشير إلى وجود برنامج “إن جيت” الضار ضمن التطبيقات المتاحة للتنزيل على متجر جوجل بلاي الرسمي.
وهذا يعني أن المهاجمين يلجأون إلى طرق أخرى لتوزيع هذا البرنامج، مثل المواقع الإلكترونية المزيفة ورسائل البريد الإلكتروني الاحتيالية.
كشفت التحقيقات عن تورط ستة تطبيقات مصرفية مختلفة في حملة استهداف واسعة النطاق تستخدم برنامج “إن جيت” الضار.
وقد تمكنت هذه العصابة التشيكية، من اختراق هذه التطبيقات، وزرع برنامجها الخبيث فيها منذ نهاية العام الماضي، مما يهدد ملايين المستخدمين حول العالم.
هاكر يطلب بيانات صاحب الهاتف
بمجرد أن يقوم الضحية بتثبيت التطبيق الضار وتشغيله، يتم عرضه على واجهة موقع ويب مزيف مصمم بشكل احترافي ليبدو وكأنه موقع البنك الحقيقي.
ويطلب هذا الموقع المزيف من الضحية، إدخال بيانات حساسة، مثل اسم المستخدم وكلمة المرور ورقم البطاقة، والتي يتم إرسالها مباشرة إلى خوادم المهاجمين.
بعد أن ينجح المهاجمون في إقناع الضحية بتثبيت التطبيق الضار، يبدأ البرنامج في طلب معلومات حساسة مثل رقم الحساب المصرفي وتاريخ الميلاد ورمز PIN الخاص ببطاقة الائتمان، بالإضافة إلى ذلك، يطلب البرنامج من الضحية تفعيل تقنية الاتصال قريب المدى (NFC) على هاتفه الذكي ووضع بطاقته المصرفية على الجزء الخلفي من الهاتف لتمكين البرنامج من قراءة بيانات البطاقة.
بفضل النسخة التي تم الحصول عليها من بيانات البطاقة المصرفية، يمكن للمهاجم الآن استخدام هذه البيانات كما لو كانت يملك البطاقة الأصلية، ويمكنه مثلا، استخدام هذه البيانات لإجراء عمليات شراء عبر الإنترنت، أو سحب الأموال من أجهزة الصراف الآلي التي تدعم تقنية NFC، وذلك دون الحاجة إلى امتلاك البطاقة الفعلية.