Кіберфахівці виявили новий Android-мальвар під назвою NGate, який краде дані NFC з безконтактних платіжних карток жертв. Використовуючи ці дані, зловмисники можуть передавати інформацію на свої пристрої та проводити шахрайські операції.
Цей шкідливий програмний продукт, відстежуваний словацькою компанією з кібербезпеки як NGate, націлений на три банки в Чехії. За словами дослідників Лукаша Штефанко та Якуба Османі, NGate має унікальну здатність передавати дані з платіжних карток жертв через шкідливий додаток, встановлений на їхніх Android-пристроях, на рутований телефон атакуючого.
Ця активність є частиною ширшої кампанії, що була виявлена у фінансових установах Чехії з листопада 2023 року та використовує шкідливі прогресивні вебдодатки (PWA) і WebAPK. Перший зафіксований випадок використання NGate стався у березні 2024 року.
Мета атак — клонування NFC-даних з платіжних карток через NGate. Інформація потім використовується для зняття грошей з банкоматів.
Як працює атака NGate з клонування NFC-даних?
NGate-мальвар походить від інструменту NFCGate, створеного у 2015 році для досліджень у сфері безпеки. Зловмисники комбінують соціальну інженерію і SMS-фішинг, щоб змусити користувачів встановити NGate через фальшиві банківські сайти.
З листопада 2023 року до березня 2024 року було виявлено шість різних додатків NGate. Діяльність припинилася, ймовірно, через арешт 22-річного чоловіка чеською владою у зв’язку зі зняттям коштів з банкоматів.
Окрім перехоплення NFC-трафіку, NGate також запитує введення чутливої фінансової інформації, такої як клієнтський ID банку, дата народження та PIN-код банківської картки. Ці дані вводяться на фішинговій сторінці, вбудованій у WebView.
Шахрайські дзвінки та SMS-повідомлення
Атаки NGate застосовують підступний підхід. Після встановлення додатка через посилання в SMS-повідомленнях, користувачі отримують дзвінки від зловмисників, які представляються співробітниками банку. Вони повідомляють, що їхній банківський рахунок скомпрометовано через встановлення шкідливого додатка. Користувачам пропонується змінити PIN-код і підтвердити банківську картку через інший мобільний додаток (тобто NGate). Посилання на встановлення якого також надсилається через SMS.
Ці додатки не були доступні в офіційному магазині Google Play. NGate використовує два різні сервери: перший для фішингу, другий — для перенаправлення NFC-трафіку на пристрій атакуючого.
Висновок
NGate-мальвар є черговим прикладом того, як кіберзлочинці використовують сучасні технології для обману користувачів та викрадення їхніх фінансових даних. Особливо небезпечною ця атака є через можливість клонування NFC-даних для проведення шахрайських транзакцій.
Щоб уникнути подібних загроз, користувачам рекомендується бути обережними з встановленням невідомих додатків та уважно перевіряти посилання в повідомленнях, навіть якщо вони здаються легітимними.




