／ESET

NGate對Android用戶的攻擊在2024年3月因主謀被捕而終止。期間有三家捷克銀行客戶受害，研究人員共發現6隻不同的NGate App變種，但受害人數不明。所幸NGate從未在Google Play Store市集上架，減少了可能的受害者規模

研究人員指出，NGate使用了創新Web技術PWA和WebAPK來冒充銀行網站。PWA從釣魚網站開啟時會模倣合法應用程式，只是加了個小的瀏覽器圖示。NGate開啟時，即冒充銀行網站要求用戶輸入登入帳密。WebAPK則是PWA的進階版；它是由Chrome瀏覽器自動產生，但比PWA更像原生Android App，且沒有瀏覽器圖示，更容易瞞騙用戶。

NGate除了冒充銀行App外，還具有NFCGate的工具。後者來自德國達特茅斯理工大學學生，原始用途是蒐集、分析和變更NFC流量的程式，它會將Android裝置的NFC訊號，透過伺服器傳送到另一臺模擬Android裝置的機器。在安裝NGate程式的機器上，可以蒐集、傳送／重導引或在另一臺機器上模倣、重播擷取到的資料，其中重導引功能可以在未被root（刷機）的Android裝置上執行。NGate程式濫用其中的重導引NFC流量功能，且誘使用戶輸入銀行帳號、出生日期和支付卡密碼，並要求他們啟用手機NFC傳輸功能，還要受害者將支付卡放在Android手機背面直到NGate App完成「認證」。

而這些動作讓攻擊者取得了所有必要的資訊，而得以在其持有的Android手機上複製受害者支付（金融或信用）卡，並從ATM提出金錢或執行交易。

因此這次攻擊讓駭客有二種方法竊取受害者錢財。如果NFC資料傳送未成功，攻擊者可以用取得釣魚網站的資訊存取受害者網銀帳戶，調高匯款上限或轉帳到其他帳戶。但一旦NFC資料傳送成功，駭客即不需連回受害者帳戶，也不會留下攻擊跡證。

研究人員補充，NGate惡意程式還能讓惡意人士從事其他攻擊，特別是他能接近受害者裝置時，像是複製NFC標籤或支付卡，但是先決條件是目標裝置只能在刷機過，或是客製Android裝置。