Хакеры создали вредонос NGate для Android, использующий чип NFC для кражи данных банковских карт

Новая вредоносная программа для Android под названием NGate может красть деньги с платёжных карт, передавая на устройство злоумышленника данные, считанные чипом беспроводной связи ближнего действия (NFC). NGate позволяет злоумышленникам эмулировать карты жертв и совершать несанкционированные платежи или снимать наличные в банкоматах, о чём накануне сообщили представители словацкой компании по кибербезопасности ESET.

По словам экспертов, эта киберпреступная кампания активна как минимум с ноября 2023 года. В опубликованном исследовании компания по кибербезопасности утверждает, что вредоносное ПО NGate также использовалось в ходе кампании в некоторых случаях для совершения прямой кражи денег.

Атаки начинаются с вредоносных текстовых сообщений, автоматических звонков с предварительно записанными сообщениями или вредоносной рекламы, чтобы обманом заставить жертв установить вредоносное PWA, а затем и WebAPK на свои устройства. Эти веб-приложения рекламируются как срочные обновления безопасности и используют официальный значок и интерфейс входа в систему целевого банка для кражи учётных данных доступа клиентов.

Эти приложения не требуют никаких разрешений при установке. Вместо этого они используют API веб-браузера, в котором они запущены, чтобы получить необходимый доступ к аппаратным компонентам устройства.

После того как фишинговый шаг выполнен через WebAPK, жертву обманным путём заставляют также установить NGate с помощью последующего шага на втором этапе атаки. После установки вредоносная программа активирует компонент с открытым исходным кодом под названием «NFCGate», который был разработан университетскими исследователями для тестирования и экспериментов с NFC.

Инструмент поддерживает функции захвата, ретрансляции, воспроизведения и клонирования на устройстве и не всегда требует наличия прав root на устройстве для своей работы. NGate использует этот инструмент для сбора данных NFC с платёжных карт в непосредственной близости от заражённого устройства, а затем передаёт их на устройство злоумышленника либо напрямую, либо через сервер.

Злоумышленник может сохранить эти данные в виде виртуальной карты на своём устройстве и воспроизвести сигнал на банкоматах, использующих NFC, для снятия наличных или совершения платежа в системе точек продаж (PoS).