／ESET

NGate对Android用户的攻击在2024年3月因主谋被捕而终止。期间有三家捷克银行客户受害，研究人员共发现6只不同的NGate App变种，但受害人数不明。所幸NGate从未在Google Play Store市集上架，减少了可能的受害者规模

研究人员指出，NGate使用了创新Web技术PWA和WebAPK来冒充银行网站。PWA从钓鱼网站打开时会模倣合法应用程序，只是加了个小的浏览器图标。NGate打开时，即冒充银行网站要求用户输入登录帐密。WebAPK则是PWA的进阶版；它是由Chrome浏览器自动产生，但比PWA更像原生Android App，且没有浏览器图标，更容易瞒骗用户。

NGate除了冒充银行App外，还具有NFCGate的工具。后者来自德国达特茅斯理工大学学生，原始用途是搜集、分析和变更NFC流量的程序，它会将Android设备的NFC信号，通过服务器发送到另一台模拟Android设备的机器。在安装NGate程序的机器上，可以搜集、发送／重导引或在另一台机器上模倣、重播截取到的数据，其中重导引功能可以在未被root（刷机）的Android设备上运行。NGate程序滥用其中的重导引NFC流量功能，且诱使用户输入银行帐号、出生日期和支付卡密码，并要求他们激活手机NFC传输功能，还要受害者将支付卡放在Android手机背面直到NGate App完成「认证」。

而这些动作让攻击者取得了所有必要的信息，而得以在其持有的Android手机上拷贝受害者支付（金融或信用）卡，并从ATM提出金钱或运行交易。

因此这次攻击让黑客有二种方法窃取受害者钱财。如果NFC数据发送未成功，攻击者可以用取得钓鱼网站的信息存取受害者网银帐户，调高汇款上限或转帐到其他帐户。但一旦NFC数据发送成功，黑客即不需连回受害者帐户，也不会留下攻击迹证。

研究人员补充，NGate恶意程序还能让恶意人士从事其他攻击，特别是他能接近受害者设备时，像是拷贝NFC标签或支付卡，但是先决条件是目标设备只能在刷机过，或是客制Android设备。