Новый троян ворует деньги с Android-смартфонов с NFC
Обнаружен новый вирус для Android под названием NGate, который использует чип NFC для кражи данных с банковских карт. Об этом в конце августа 2024 г. сообщило издание Bleepingcomputer.
В частности, NGate позволяет злоумышленникам эмулировать карты жертв и совершать несанкционированные платежи или снимать наличные в банкоматах. Новый вирус активен с ноября 2023 г. и связан с недавним отчетом компании ESET об участившихся случаях использования прогрессивных веб-приложений (PWA) и продвинутых WebAPK для кражи банковских учетных данных пользователей в Чехии.
В опубликованном исследовании на Bleepingcomputer специалисты по кибербезопасности из ESET утверждают, что вредоносное программное обеспечение (ПО) NGate также использовалось в ходе кампании в некоторых случаях для прямой кражи наличных.
Кибератака начинаются с вредоносных текстов, автоматических звонков с заранее записанными сообщениями или вредоносной рекламы, чтобы обманом заставить жертв установить на свои устройства вредоносные Progressive Web App (PWA) (это веб приложение, созданное с использованием определенных технологий для достижения заданных целевых показателей), а затем и WebAPK (это функция в Google Chrome, которая создает собственный контейнер Android-пакетов (APK) и подписывает его на стороне сервера для PWA).
Вирус NGate рекламируются как срочные обновления безопасности и используют официальную иконку и интерфейс входа в систему целевого банка для кражи учетных данных доступа клиентов. При установке эти приложения не требуют никаких разрешений. Вместо этого они используют API веб-браузера, в котором запускаются, чтобы получить необходимый доступ к аппаратным компонентам устройства. После того как фишинговый шаг через WebAPK выполнен, жертву обманом заставляют установить NGate на втором этапе ИТ-атаки.
После установки вредоносная программа активирует компонент с открытым исходным кодом под названием NFCGate, который был разработан университетскими исследователями для тестирования и экспериментов с NFC. Инструмент поддерживает функции захвата, ретрансляции, воспроизведения и клонирования на устройстве и не всегда требует рутования устройства для работы. NGate использует инструмент для захвата данных NFC с платежных карт, находящихся в непосредственной близости от зараженного устройства, а затем передает их на устройство злоумышленника, напрямую или через сервер.
Злоумышленник может сохранить эти данные в виде виртуальной карты на своем устройстве и воспроизвести сигнал на банкоматах, использующих NFC для снятия наличных или совершения платежа в точках продаж (PoS).