СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
04.11.2025
#ИБ#Инфра

NGate: Android‑вредонос для NFC‑ретрансляции и кражи PIN

Отчет раскрывает кампанию вредоносного ПО под названием NGate, в которой злоумышленники используют ретрансляцию NFC для несанкционированного снятия наличных в банкоматах, в частности нацеливаясь на пользователей польских банков. Механизм атаки сочетает классические приемы социальной инженерии с продвинутой мобильной эксплойтацией, что позволяет преступникам обойти необходимость физической кражи платежной карты.

Краткая схема атаки

  • Злоумышленники запускают фишинговую кампанию: e-mail или SMS с сообщением о «технической проблеме» или инциденте безопасности.
  • Сообщения содержат ссылку, ведущую к загрузке вредоносного Android-приложения через определенные онлайн-каналы.
  • После установки приложение регистрируется как платежный сервис эмуляции основной карты — HCE, что позволяет ему эмулировать виртуальную карту.
  • Когда жертва прикладывает свою карту к телефону и вводит PIN в приложении, вредоносное ПО захватывает EMV APDU и PIN-данные.
  • Собранные данные отфильтровываются на сервер C2 злоумышленников по упрощенному протоколу TCP, после чего злоумышленник ретранслирует сеанс и снимает наличные в банкомате, не имея физической карты.

Технический анализ

Анализ показал следующие ключевые технические особенности кампании:

  • Вредоносное приложение скрывает инфраструктуру командования и контроля (C2) внутри небольшого зашифрованного ресурса, встроенного в пакет.
  • При запуске приложение внедряет собственную вспомогательную нативную библиотеку, которая загружает конфигурацию через ряд методов дешифрования.
  • Собственный загрузчик конфигурации обрабатывает встроенные зашифрованные данные, расшифровывая их с помощью операции XOR, ключ для которой получен из хэша SHA-256 сертификата подписи APK.
  • Файл AndroidManifest.xml используется для обозначения аспектов функциональности и необходимых разрешений приложения, что позволяет ему функционировать как платежный сервис HCE.
  • Исходящие данные скоммутированы на конечную точку C2 с IP-адресом 91.84.97.13 и портом 5653, где злоумышленники получают отфильтрованные данные, включая введенный PIN.

Жизненный цикл вредоносного ПО

Основные этапы работы вредоносного компонента выглядят следующим образом:

  1. Инфекция через фишинговую ссылку и установка под видом легитимного сервиса.
  2. Регистрация в системе Android как HCE-платежный сервис.
  3. Сбор EMV APDU и PIN при взаимодействии пользователя с NFC-картой.
  4. Шифрование/фильтрация и отправка критичных данных на C2 через TCP.
  5. Ретрансляция сеанса злоумышленниками для снятия наличных в банкоматах без физического обладателя карты.

«Кампания NGate по вредоносному ПО является примером формирующегося ландшафта угроз, в котором мобильное вредоносное ПО в сочетании с социальной инженерией приводит к значительному финансовому ущербу», — отмечается в отчете.

Индикаторы компрометации (IoC)

  • IP C2: 91.84.97.13, порт 5653
  • Приложения, маскирующиеся под платежный сервис и требующие NFC/чтения карт и запроса PIN
  • Встроенные зашифрованные ресурсы в APK и нестандартные загрузчики конфигурации, использующие SHA-256 и операцию XOR

Последствия и рекомендации

Кампания демонстрирует, что сочетание фишинга и мобильного вредоносного ПО может привести к прямым финансовым потерям пользователей. Для минимизации рисков эксперты рекомендуют:

  • Не переходить по ссылкам из непроверенных сообщений SMS или e-mail и не устанавливать приложения из непроверенных источников.
  • Отключать NFC на мобильном устройстве, когда он не используется.
  • Проверять, какие приложения имеют разрешения на работу с платежами и NFC, и удалять подозрительные.
  • Использовать официальные магазины приложений и проверять цифровую подпись приложения при сомнениях.
  • Сообщать в банк о подозрительных операциях и по возможности активировать дополнительные уровни защиты (оповещения о транзакциях, лимиты и т.п.).
  • Обновлять ОС и банковские приложения, чтобы получить исправления уязвимостей.

Заключение

Кампания NGate показывает, как современные злоумышленники комбинируют проверенные методы социальной инженерии с тонко нацеленным мобильным вредоносным ПО. Такая тактика позволяет обходить физические барьеры и напрямую эксплуатировать пользователей. Повышенная внимательность к источникам приложений, контроль разрешений и базовая цифровая гигиена остаются ключевыми мерами против подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: