Kompanija ESET upozorava na novu sofisticiranu kampanju zlonamjernog softvera koja cilja sisteme za beskontaktna plaćanja putem NFC tehnologije, a koja se iz lokalizovanog napada u istočnoj Evropi pretvorila u globalnu prijetnju.
Ova opasna operacija, koju su istraživači kompanije ESET prvi put identifikovali krajem 2023. godine među klijentima čeških banaka, sada se širi s velikom efikasnošću na više kontinenata.
Prema podacima ESET telemetrije, broj napada povezanih s NFC tehnologijom porastao je nevjerovatnih 35 puta u prvoj polovini 2025. godine u poređenju s drugom polovinom 2024. godine. Ovaj drastični rast naglašava brzu prilagodljivost i skalabilnost sajberkriminalnih operacija koje iskorištavaju sve širu upotrebu mobilnih plaćanja.
Metodologija napada kombinuje klasične taktike socijalnog inženjeringa putem SMS poruka sa naprednim tehnikama manipulacije NFC-om, stvarajući višeslojnu prevaru koja se pokazala vrlo efikasnom protiv nepripremljenih žrtava.
Istraživači kompanije ESET su otkrili da zlonamjerni softver koristi NFCGate tehnologiju, prvobitno razvijenu kao legitimni istraživački alat od strane studenata na Institutu za sigurne mobilne mreže Tehničkog univerziteta u Darmstadtu, a koja je sada zloupotrebljena za finansijske prevare.
Početni vektor napada oslanja se na kampanje “phishinga” putem SMS poruka koje žrtve usmjeravaju na lažne bankarske web stranice. Nakon toga se na njihove uređaje postavljaju zlonamjerne progresivne web aplikacije (PWA) koje zaobilaze tradicionalne sigurnosne mjere prodavnica aplikacija. Ove aplikacije prikupljaju bankarske akreditive, a zatim pokreću glasovne napade socijalnog inženjeringa, gdje kriminalci, predstavljajući se kao zaposleni u bankama, manipuliraju žrtvama da preuzmu NGate zlonamjerni softver.
Ključna tehnička inovacija leži u sposobnosti zlonamjernog softvera da uspostavi neprimjetan NFC relej između uređaja žrtve i sistema pod kontrolom napadača. Nakon instalacije, NGate traži od žrtava da prislone svoje platne kartice na NFC čitač pametnog telefona, navodno radi provjere PIN-a ili sigurnosnih ažuriranja. Tokom ovog procesa, zlonamjerni softver u realnom vremenu presreće i prenosi NFC podatke kartice udaljenim napadačima.
Mehanizam releja funkcionira uspostavljanjem skrivenog komunikacijskog kanala između uređaja žrtve i infrastrukture napadača, čime se efektivno stvara virtualni produžetak platne kartice žrtve. Ovo omogućava sajberkriminalcima da kloniraju funkcionalnost kartice na vlastitim uređajima, što im omogućava neovlaštene transakcije bez fizičkog posjedovanja originalne kartice. Sofisticiranost napada se ogleda i u njegovoj evoluciji u operacije poznate kao “Ghost Tap”, gdje kompromitovani podaci kartica bivaju iskorišteni na velikom broju Android uređaja koji su programirani za automatske, prevarne transakcije putem globalnih platnih mreža.