Обнаружено вредоносное ПО для Android, способное украсть данные кредитных карт

NGate, новое и крайне опасное вредоносное ПО для Android, способно изощрённо красть данные платёжных карт. Используя технологию NFC (беспроводной связи ближнего радиуса действия), вредоносная программа незаметно копирует данные с платёжных карт и передаёт их напрямую злоумышленникам, превращая ваш телефон в банкомат.

Эта вредоносная программа позволит злоумышленникам использовать данные пользователей в банкоматах и ​​POS-терминалах для снятия денег или оплаты покупок на кассовых аппаратах.

Недавнее исследование компании по кибербезопасности ESET (Словакия) выявило атакующую кампанию, которая длится с ноября 2023 года. В ходе нее хакеры использовали такие современные веб-приложения, как PWA и WebAPK, для кражи банковских учетных данных пользователей, что напрямую угрожало активам пользователей в Чешской Республике.

В отчете, опубликованном 22 августа, компания ESET, занимающаяся кибербезопасностью, сделала тревожное открытие: вредоносная программа NGate не только собирает информацию, но и используется для кражи денег непосредственно с банковских счетов жертв.

Вредоносное ПО крадет данные карты через чип NFC

Атаки начинаются с использования различных изощренных приемов — от поддельных сообщений и мошеннических звонков до вредоносной рекламы — с целью заставить жертв загрузить и установить вредоносные веб-приложения, включая PWA и WebAPK.

Эти вредоносные веб-приложения искусно маскируются под срочные обновления безопасности, полностью имитируя официальный интерфейс и логотип банков, чтобы обманом заставить пользователей предоставить информацию о счетах.

Хотя эти приложения не требуют никаких разрешений при установке, они скрытно используют уязвимости в интерфейсе прикладного программирования (API) браузера, чтобы получить контроль над аппаратными компонентами устройства, причем совершенно без ведома пользователя.

Угроза на этом не заканчивается. После того, как жертв обманным путём заставляют установить WebAPK, они заражаются вредоносным ПО NGate. Тревожно, что NGate использует для своих вредоносных действий исследовательский инструмент NFCGate, изначально созданный для обеспечения безопасности, превращая его в орудие атаки.

Инструмент безопасности NFCGate предоставляет широкий набор функций, включая сбор, пересылку, воспроизведение и копирование данных на устройстве, без необходимости вмешательства в корневую систему. Это позволяет пользователям легко использовать инструмент, не беспокоясь о рисках.

Вредоносное ПО NGate использует этот инструмент для проникновения на устройство жертвы, кражи конфиденциальных данных с находящихся поблизости платежных NFC-карт и тайной передачи их злоумышленнику через сеть подпольных серверов.

Злоумышленники могут легко превратить украденные данные в виртуальную карту, а затем использовать ее для снятия наличных в банкоматах или совершения платежей в торговых точках, нанося прямой ущерб жертве.

В демонстрационном видеоролике эксперт по безопасности ESET Лукас Стефанко продемонстрировал опасные возможности NFCGate, показав, как он может легко сканировать и красть данные с карт в кошельке или рюкзаке жертвы. Злоумышленник в магазине может даже получить эти данные через сервер и совершить бесконтактную оплату, используя карту жертвы.

Не останавливаясь на достигнутом, Стефанко также предупредил, что NFCGate также может копировать уникальные идентификаторы некоторых карт и токенов доступа NFC, чтобы получить доступ в зоны с ограниченным доступом.

Как хакеры получают PIN-коды карт жертв?

Для снятия наличных в большинстве банкоматов требуется PIN-код карты, который, по словам исследователей, можно получить, взломав учетную запись жертвы.

Успешно заставив жертву установить поддельное приложение, мошенник ещё больше повышает доверие, звоня напрямую, выдавая себя за сотрудника банка. Используя профессиональный тон и точные личные данные, он создаёт идеальную ситуацию, чтобы заставить жертву поверить в наличие проблем с её счётом.

Затем, используя тщательно составленное SMS-сообщение, злоумышленник отправляет жертве вредоносную ссылку, замаскированную под приложение для проверки безопасности, чтобы продолжить кражу важной информации.

Когда жертва проводит картой по своему устройству и вводит PIN-код для проверки в фишинговом интерфейсе вредоносного ПО, конфиденциальная информация передается злоумышленнику, что позволяет ему снять деньги.

Чешская полиция пресекла деятельность банды, использовавшей этот метод, арестовав одного из ее членов при снятии наличных в банкомате в столице Чехии Праге.

ESET предупреждает, что риск выходит за рамки простой потери наличных. NFCGate также способен клонировать широкий спектр карт, включая карты доступа, проездные билеты, удостоверения личности, членские карты и другие карты с поддержкой NFC, что может иметь гораздо более серьёзные последствия.

Один из простых способов повысить безопасность вашего устройства — отключать NFC, когда он не нужен. Для этого перейдите в раздел «Настройки» > «Подключения» > «NFC» на вашем Android-смартфоне и отключите функцию. Это поможет снизить риск кражи ваших данных.

Если вам нужно постоянно включать NFC, дважды проверьте все разрешения приложений и ограничьте доступ только тем приложениям, которым это необходимо; устанавливайте банковские приложения только с официального сайта организации или из Google Play и убедитесь, что используемое вами приложение не является WebAPK.

Относительно этого открытия представитель Google заявил, что на данный момент в магазине приложений Google Play не обнаружено ни одного приложения, содержащего NGate, благодаря автоматической функции защиты Google Play Protect, которая по умолчанию включена на устройствах Android с сервисами Google Play.

Google также заявила, что не обнаружила подобного вредоносного ПО в Google Play, поскольку Play Protect может предупреждать пользователей и блокировать приложения с вредоносным поведением, даже если они поступают из сторонних источников.