На устройствах Android обнаружена вредоносная программа, способная красть данные кредитных карт.
Обнаружена новая вредоносная программа под названием NGate, позволяющая киберпреступникам легко красть данные кредитных карт у пользователей Android с помощью технологии ближней бесконтактной связи (NFC).
NGate, новый и чрезвычайно опасный вредоносный код для Android, способен изощренно красть информацию с платежных карт. Используя технологию ближней бесконтактной связи (NFC), этот вредоносный код незаметно копирует информацию с платежных карт и передает ее непосредственно злоумышленнику, превращая ваш телефон в банкомат.
Это вредоносное ПО позволит преступникам использовать данные пользователей в банкоматах и POS-терминалах для снятия наличных или оплаты покупок на кассе.
Недавнее исследование словацкой компании по кибербезопасности ESET выявило кампанию атак, начавшуюся в ноябре 2023 года, в ходе которой хакеры использовали сложные веб-приложения, такие как PWA и WebAPK, для кражи учетных данных пользователей банковских счетов, что напрямую угрожало активам пользователей в Чешской Республике.

В отчете, опубликованном 22 августа, компания ESET, специализирующаяся на кибербезопасности, сообщила о тревожном открытии: вредоносная программа NGate не только собирает информацию, но и используется для кражи денег непосредственно со счетов жертв.
Вредоносное ПО крадет данные банковских карт с помощью NFC-чипов.
Атаки начинаются с целого ряда изощренных тактик, начиная от поддельных сообщений и мошеннических звонков и заканчивая вредоносной рекламой, призванной побудить жертв загрузить и установить вредоносные веб-приложения, включая PWA и WebAPK.
Эти вредоносные веб-приложения искусно замаскированы под срочные обновления безопасности, полностью имитируя официальные интерфейсы и значки банков, чтобы обманом заставить пользователей предоставить информацию о своем счете.
Хотя эти приложения не запрашивают никаких разрешений во время установки, они незаметно используют уязвимости в интерфейсе прикладного программирования (API) браузера, чтобы перехватить управление аппаратными компонентами устройства без ведома пользователя.
Угроза на этом не заканчивается. После того, как жертв обманом заставляют установить WebAPK, они заражаются вредоносным ПО NGate. Тревожно, что NGate использует уязвимость NFCGate, исследовательского инструмента, изначально созданного для обеспечения безопасности, для осуществления вредоносных действий, превращая защитный инструмент в оружие атаки.
Инструмент безопасности NFCGate предлагает широкий набор функций, включая захват, пересылку, воспроизведение и копирование данных на устройстве, без обязательного вмешательства в работу корневой системы. Это делает инструмент простым в использовании и не вызывающим опасений по поводу рисков.
Вредоносная программа NGate использует этот инструмент для проникновения в устройство жертвы, кражи конфиденциальных данных с находящихся рядом NFC-платежных карт и их скрытой передачи злоумышленнику через сеть подпольных серверов.
Злоумышленники могут легко превратить украденные данные в виртуальную карту, а затем использовать ее для снятия наличных в банкоматах или совершения платежей в торговых точках, причиняя жертве прямой финансовый ущерб.
В демонстрационном видеоролике эксперт по безопасности ESET Лукас Стефанко продемонстрировал опасные возможности NFCGate, показав, как устройство может легко сканировать и красть данные с карт в кошельке или рюкзаке жертвы. Даже злоумышленник в магазине может получить данные через сервер и совершать бесконтактные платежи с помощью карты жертвы.
Кроме того, Стефанко предупредил, что NFCGate также может копировать уникальные идентификаторы некоторых NFC-карт доступа и токенов для получения доступа в зоны с ограниченным доступом.
Как хакеры получают PIN-коды кредитных карт своих жертв?
Для снятия наличных в большинстве банкоматов требуется PIN-код карты, который, по словам исследователей, можно получить, взломав систему жертвы.
Успешно обманом заставив жертв установить поддельное приложение, мошенники еще больше повышают свою убедительность, совершая прямые телефонные звонки и выдавая себя за сотрудников банка. Используя профессиональный тон и предоставляя достоверную личную информацию, они создают идеальную ситуацию, чтобы обмануть жертв и заставить их поверить, что с их счетами возникли проблемы.
Затем, используя тщательно составленное SMS-сообщение, злоумышленник отправляет жертве вредоносную ссылку, замаскированную под приложение для проверки безопасности, чтобы дополнительно украсть конфиденциальную информацию.
Когда жертвы сканируют свои карты с помощью своих устройств и вводят PIN-код для подтверждения в фишинговом интерфейсе вредоносной программы, конфиденциальная информация передается злоумышленнику, что позволяет ему снять средства.
Чешская полиция пресекла деятельность банды, использовавшей этот метод, после ареста одного из ее членов во время снятия наличных в банкомате в Праге.
Компания ESET предупреждает, что риск не ограничивается только потерей наличных денег. NFCGate также способен копировать множество различных типов карт, от пропускных карт и проездных билетов до удостоверений личности, членских карт и других технологий с поддержкой NFC, что может привести к гораздо более серьезным последствиям.
Простой способ повысить безопасность вашего устройства — отключать NFC, когда он не нужен. Для этого перейдите в «Настройки» > «Подключения» > «NFC» на вашем телефоне Android и отключите эту функцию. Это поможет снизить риск кражи информации.
Если вам необходимо постоянно использовать NFC, тщательно проверьте все разрешения приложений и ограничьте доступ только к необходимым приложениям; устанавливайте банковские приложения только с официального сайта организации или из Google Play и убедитесь, что используемое вами приложение не является WebAPK.
В связи с этим открытием представитель Google заявил, что в настоящее время в магазине приложений Google Play не обнаружено ни одного приложения, содержащего NGate, благодаря функции автоматической защиты Google Play Protect, которая включена по умолчанию на устройствах Android с Google Play Services.
Компания Google также заявила, что не обнаружила подобного вредоносного ПО в Google Play, поскольку Play Protect может предупреждать пользователей и блокировать приложения со вредоносным поведением, даже если эти приложения поступают из сторонних источников.


