Обнаружено вредоносное ПО для Android, способное украсть данные кредитных карт

NGate, новое и крайне опасное вредоносное ПО для Android, способно изощрённо красть данные платёжных карт. Используя технологию NFC (беспроводной связи ближнего радиуса действия), это вредоносное ПО незаметно копирует данные с платёжных карт и передаёт их напрямую злоумышленникам, превращая ваш телефон в банкомат.

Эта вредоносная программа позволит злоумышленникам использовать данные пользователей в банкоматах и ​​POS-терминалах для снятия денег или оплаты покупок на кассовых аппаратах.

Недавнее исследование компании по кибербезопасности ESET (Словакия) выявило атакующую кампанию, которая длится с ноября 2023 года. В ходе нее хакеры использовали такие современные веб-приложения, как PWA и WebAPK, для кражи банковских учетных данных пользователей, что напрямую угрожало активам пользователей в Чешской Республике.

В отчете, опубликованном 22 августа, компания ESET, занимающаяся кибербезопасностью, сделала тревожное открытие: вредоносная программа NGate не только собирает информацию, но и используется для кражи денег непосредственно с банковских счетов жертв.

Вредоносное ПО крадет данные карты через чип NFC

Атаки начинаются с различных изощренных уловок — от поддельных сообщений и мошеннических звонков до вредоносной рекламы — чтобы заставить жертв загрузить и установить вредоносные веб-приложения, включая PWA и WebAPK.

Эти вредоносные веб-приложения искусно маскируются под срочные обновления безопасности, полностью имитируя официальные интерфейсы и логотипы банков, чтобы обманом заставить пользователей предоставить информацию о счетах.

Хотя эти приложения не требуют никаких разрешений на доступ при установке, они скрытно используют уязвимости в интерфейсе прикладного программирования (API) браузера, чтобы украсть контроль над аппаратными компонентами устройства, причем совершенно без ведома пользователя.

Угроза на этом не заканчивается. После того, как жертв обманным путём заставляют установить WebAPK, они заражаются вредоносным ПО NGate. Тревогу вызывает то, что NGate использует для своих вредоносных действий исследовательский инструмент NFCGate, изначально созданный для обеспечения безопасности, превращая средство защиты в орудие атаки.

Инструмент безопасности NFCGate предоставляет широкий спектр функций, включая сбор, пересылку, воспроизведение и копирование данных на устройстве, без необходимости вмешательства в корневую систему. Это позволяет пользователям легко использовать инструмент, не беспокоясь о рисках.

Вредоносное ПО NGate использует этот инструмент для проникновения на устройство жертвы, кражи конфиденциальных данных с находящихся поблизости платежных NFC-карт и тайной передачи их злоумышленнику через сеть подпольных серверов.

Злоумышленники могут легко превратить украденные данные в виртуальную карту, а затем использовать ее для снятия наличных в банкоматах или совершения платежей в торговых точках, нанося прямой ущерб жертве.

В демонстрационном видеоролике эксперт по безопасности ESET Лукас Стефанко продемонстрировал опасные возможности NFCGate, который может легко сканировать и красть данные с карт в кошельке или рюкзаке жертвы. Злоумышленник в магазине может даже получить эти данные через сервер и совершить бесконтактную оплату с помощью карты жертвы.

Не останавливаясь на достигнутом, Стефанко также предупредил, что NFCGate также может копировать уникальные идентификаторы некоторых карт и токенов доступа NFC, чтобы получить доступ в зоны с ограниченным доступом.

Как хакеры получают PIN-коды карт жертв?

Для снятия наличных в большинстве банкоматов требуется PIN-код карты, который, по словам исследователей, можно получить, взломав учетную запись жертвы.

Успешно заставив жертву установить поддельное приложение, мошенник ещё больше укрепляет свою репутацию, звоня напрямую, выдавая себя за сотрудника банка. Используя профессиональный тон и точные личные данные, он создаёт идеальную ситуацию, чтобы заставить жертву поверить в наличие проблем с её счётом.

Затем, используя тщательно составленное SMS-сообщение, злоумышленник отправляет жертве вредоносную ссылку, замаскированную под приложение для проверки безопасности, для дальнейшей кражи важной информации.

Когда жертва проводит картой по своему устройству и вводит PIN-код для проверки в фишинговом интерфейсе вредоносного ПО, конфиденциальная информация передается злоумышленнику, что позволяет ему снять деньги.

Чешская полиция пресекла деятельность банды, использовавшей этот метод, арестовав одного из ее членов при снятии наличных в банкомате в столице Чехии Праге.

ESET предупреждает, что риск выходит за рамки потери наличных. NFCGate также способен клонировать широкий спектр карт, включая карты доступа, транспортные билеты, удостоверения личности, членские карты и другие карты с поддержкой NFC, что может иметь гораздо более серьёзные последствия.

Простой способ повысить безопасность вашего устройства — отключать функцию NFC, когда она не нужна. Для этого перейдите в раздел «Настройки» > «Подключения» > «NFC» на вашем Android-смартфоне и отключите её. Это поможет снизить риск кражи информации.

Если вам необходимо постоянно включать NFC, дважды проверьте все разрешения приложений и ограничьте доступ только необходимыми приложениями; устанавливайте банковские приложения только с официального сайта учреждения или из Google Play и убедитесь, что используемое вами приложение не является WebAPK.

Относительно этого открытия представитель Google заявил, что на данный момент в магазине приложений Google Play не обнаружено ни одного приложения, содержащего NGate, благодаря автоматической функции защиты Google Play Protect, которая по умолчанию включена на устройствах Android с сервисами Google Play.

Google также заявила, что не обнаружила подобного вредоносного ПО в Google Play, поскольку Play Protect может предупреждать пользователей и блокировать приложения с вредоносным поведением, даже если они поступают из сторонних источников.