cachuco/ngate-es-2026-04

# NGate-ES-2026-04 · 针对西班牙银行的 Android NFC 中继木马 对 2026 年 4 月通过钓鱼着陆页 (`piaystore.it.com/SeguridadNFC`) 分发给西班牙银行客户的 Android NFC 中继银行木马的静态分析、IOC 和 YARA 规则。内部代号：**NGate-ES-2026-04**。 ## 状态 (2026-04-25) - **C2 `devilxclusive.lol`**: 已被 CentralNic 关停（服务器暂停解析，无 A 记录）。 - **诱饵 `piaystore.it.com`**: 仍在 `65.109.108.183` 保持活跃。 将随关停进展持续更新。 ## 概述 (TL;DR) - **家族**：NGate / 衍生自 NFCGate 的银行木马。该恶意软件攻击性地复用了达姆施塔特工业大学 SEEMOO 实验室的学术项目 [NFCGate](https://github.com/nfcgate/nfcgate)。归因置信度：**高**（原生库中逐字保留了 JNI 符号）。 - **作案手法**：基于电话的社会工程学 → 受害者下载名为 "Seguridad NFC Bloqueador de Cargos" 的 APK → APK 将手机变为远程 NFC 读取器 → 卡片 APDU 通过 TCP 实时中继到攻击者的设备，攻击者设备在 POS/ATM 上模拟该卡。通过 `READ_SMS`/`RECEIVE_SMS` 拦截短信 OTP 并将其窃取至 C2。 - **多银行攻击活动**：银行品牌标识由 C2 按需提供（`api_bank.php`）；单个二进制文件即可服务于任何目标。迄今为止在西班牙观察到的目标：**Kutxabank**（2026-04-20 确认受害），**Unicaja**（2026-04-22 同渠道，轮换品牌），**Cajamar**（残留的硬编码引用）。 - **样本**：SHA-256 `e494ce6af136876cba1adfe3f9d6e151f1dcf9a38059897cfb509e30e12b8c7b`（`Seguridad_NFC_Bloqueador_de_Cargos.apk`，5 381 056 字节，包名 `com.connect913.manager`）。 - **C2**：`devilxclusive.lol`（托管于 `65.109.108.183`，AS24940 Hetzner 赫尔辛基 —— 与提供诱饵和 APK 的服务器相同）。 ## 为何此事至关重要 截至发布时，该西班牙语分支在**公开情报源中尚无记录**（在 MalwareBazaar、Triage、URLScan、VirusTotal UI 或 Google 中均无匹配）。ESET Research 于 2026-04-21 发布了一个并行的 NGate 变体（巴西/HandyPay），但由 `devilxclusive.lol` 参与者运营的西班牙分支是独立的，且推测仍在活动中。 在此发布 IOC 和 YARA 规则，旨在让其他防御者能够及早检测到该活动，与其遥测数据相关联，并输入到银行/CSIRT 的响应流程中。 ## 仓库结构 ``` . ├── README.md ← you are here ├── LICENSE-docs ← CC BY-SA 4.0 (documentation) ├── LICENSE-code ← MIT (scripts / YARA / Terraform) ├── DISCLAIMER.md ← scope of use, no-warranty, APK distribution policy ├── .gitignore ├── analysis/ │ └── 02-static-analysis.md ← full static analysis write-up ├── dossier/ │ ├── executive-summary.md ← 1-2 page non-technical summary │ └── technical-report.md ← long-form technical report ├── iocs/ │ ├── README.md ← map of the IOC files │ ├── domains.txt ← C2 and lure domains │ ├── ips.txt ← hosting IPs │ ├── urls.txt ← full C2 and lure URLs │ ├── apk.txt ← APK hashes and metadata │ ├── signing_cert.txt ← APK signing certificate fingerprints │ ├── aes_key.txt ← embedded AES-128-CBC key (burned) │ ├── strings.txt ← characteristic strings for hunting │ ├── iocs.csv ← machine-readable flat list │ ├── iocs.stix2.json ← STIX 2.1 bundle │ ├── iocs.misp.json ← MISP event JSON │ └── yara/ │ └── NGate_NFCGate_Banker_ES_2026_04.yar ← introductory monolithic rule ├── yara/ │ └── piaystore_banker.yar ← expanded ruleset (6 separate rules) └── terraform/ ├── main.tf, variables.tf, etc. ← GCP sandbox used for analysis └── terraform.tfvars.example ← placeholders only (no secrets) ``` ## 样本分发 **APK 二进制文件不在本仓库中。**在 GitHub 上重新分发恶意软件违反 GitHub 的 ToS 且适得其反。该样本托管在第三方威胁情报平台上： - **MalwareBazaar**：_（提交待处理 —— 在发布时账户处于 24-48 小时验证期；一旦激活：`https://bazaar.abuse.ch/sample/e494ce6af136876cba1adfe3f9d6e151f1dcf9a38059897cfb509e30e12b8c7b/`）_ - **VirusTotal**：https://www.virustotal.com/gui/file/e494ce6af136876cba1adfe3f9d6e151f1dcf9a38059897cfb509e30e12b8c7b/detection - **URLhaus** 条目和 **ThreatFox** IOC：可通过 `devilxclusive.lol` 和样本 SHA-256 进行交叉比对。 如果您是经过审查的威胁情报分析师或 CSIRT，并且需要该二进制文件而上述平台上尚无提供，请提交一个 issue 描述您的所属机构和背景。 ## 使用 IOC - **SIEM/EDR/代理**：使用 `iocs/iocs.csv`（平面文件）或 `iocs/iocs.stix2.json`（STIX 2.1）。最具运营持久性的 IOC 是哈希值；随着关停行动的进行，域名/IP 预计会轮换。 - **MISP**：将 `iocs/iocs.misp.json` 作为事件导入。 - **YARA**：入门级的单规则文件（`iocs/yara/NGate_NFCGate_Banker_ES_2026_04.yar`）是最佳起点。扩展规则集（`yara/piaystore_banker.yar`）将检测逻辑拆分为 6 条可单独调整的规则（原生符号、Java 接线、C2 痕迹、构建器标记、HCE 中继协议、完全匹配）。 - **搜寻字符串**：`iocs/strings.txt` 包含可用于语料库扫描的 grep 友好型指标。 ## 可复现的分析环境 `terraform/` 中的 Terraform 配置了一个最小化的隔离 GCP 沙箱（自定义 VPC、默认拒绝出站、仅限 IAP 的 SSH、CMEK 加密存储桶、Shielded VM），该沙箱用于本次静态分析。无公网 IP，无外部运行时。它为其他希望使用其样本副本复现分析的人员提供了参考实现。 ## 相关工作 - ESET Research。*"NFCGate-malware relays NFC traffic to steal cash"*，2024-08 —— 原始 NGate 文档（捷克银行）。 - ESET Research。*"New NGate hides in NFC payment app (HandyPay), possibly built with AI"*，2026-04-21 —— 并行的巴西变体。 - ThreatFabric / Cleafy / Zscaler —— 持续跟踪 NFC 中继银行木马家族。 - 达姆施塔特工业大学 SEEMOO 实验室 —— [NFCGate](https://github.com/nfcgate/nfcgate) 学术项目（防御性起源）。 ## 许可协议 - **文档**（`analysis/`、`dossier/`、`iocs/*.md`、`iocs/*.txt`、`README.md`、`DISCLAIMER.md` 中的所有内容）：[CC BY-SA 4.0](./LICENSE-docs)。 - **代码**（YARA 规则、Terraform、JSON IOC 捆绑包）：[MIT](./LICENSE-code)。 ## 免责声明 参见 [DISCLAIMER.md](./DISCLAIMER.md)。简短版本：本仓库仅用于防御目的。请勿重新分发 APK 二进制文件。作者对滥用已发布信息的行为不承担任何责任。 ## 联系方式 - 公开提问首选 GitHub issues。 - 对于敏感协调（未发布的样本、CSIRT 之间的交流），请通过仓库所有者的 GitHub 个人资料进行联系。

标签：Android恶意软件, APK逆向, C2通信, Cajamar, DAST, DNS信息、DNS暴力破解, HTTP工具, IOC, Kutxabank, NFCGate, NFC中继攻击, Object Callbacks, OTP拦截, Unicaja, YARA规则, 云安全监控, 信用卡盗刷, 威胁情报, 安全助手, 开发者工具, 恶意APP分析, 恶意软件分析, 目录枚举, 短信劫持, 社交工程, 移动安全, 网络信息收集, 网络安全, 网络钓鱼, 西班牙银行, 语音钓鱼(Vishing), 金融欺诈, 银行木马, 隐私保护, 静态分析