Хакер використовує NGate-мальвар для викрадення даних безконтактної картки через смартфон.
🕒 Час читання: 2 хв

NFC: Як крадуть дані через новий Android NGate-мальвар

Кіберфахівці виявили новий Android-мальвар під назвою NGate, який краде дані NFC з безконтактних платіжних карток жертв. Використовуючи ці дані, зловмисники можуть передавати інформацію на свої пристрої та проводити шахрайські операції.

Цей шкідливий програмний продукт, відстежуваний словацькою компанією з кібербезпеки як NGate, націлений на три банки в Чехії. За словами дослідників Лукаша Штефанко та Якуба Османі, NGate має унікальну здатність передавати дані з платіжних карток жертв через шкідливий додаток, встановлений на їхніх Android-пристроях, на рутований телефон атакуючого.

Ця активність є частиною ширшої кампанії, що була виявлена у фінансових установах Чехії з листопада 2023 року та використовує шкідливі прогресивні вебдодатки (PWA) і WebAPK. Перший зафіксований випадок використання NGate стався у березні 2024 року.

Мета атак — клонування NFC-даних з платіжних карток через NGate. Інформація потім використовується для зняття грошей з банкоматів.

Як працює атака NGate з клонування NFC-даних?

NGate-мальвар походить від інструменту NFCGate, створеного у 2015 році для досліджень у сфері безпеки. Зловмисники комбінують соціальну інженерію і SMS-фішинг, щоб змусити користувачів встановити NGate через фальшиві банківські сайти.

З листопада 2023 року до березня 2024 року було виявлено шість різних додатків NGate. Діяльність припинилася, ймовірно, через арешт 22-річного чоловіка чеською владою у зв’язку зі зняттям коштів з банкоматів.

Окрім перехоплення NFC-трафіку, NGate також запитує введення чутливої фінансової інформації, такої як клієнтський ID банку, дата народження та PIN-код банківської картки. Ці дані вводяться на фішинговій сторінці, вбудованій у WebView.

Шахрайські дзвінки та SMS-повідомлення

Атаки NGate застосовують підступний підхід. Після встановлення додатка через посилання в SMS-повідомленнях, користувачі отримують дзвінки від зловмисників, які представляються співробітниками банку. Вони повідомляють, що їхній банківський рахунок скомпрометовано через встановлення шкідливого додатка. Користувачам пропонується змінити PIN-код і підтвердити банківську картку через інший мобільний додаток (тобто NGate). Посилання на встановлення якого також надсилається через SMS.

Ці додатки не були доступні в офіційному магазині Google Play. NGate використовує два різні сервери: перший для фішингу, другий — для перенаправлення NFC-трафіку на пристрій атакуючого.

Висновок

NGate-мальвар є черговим прикладом того, як кіберзлочинці використовують сучасні технології для обману користувачів та викрадення їхніх фінансових даних. Особливо небезпечною ця атака є через можливість клонування NFC-даних для проведення шахрайських транзакцій.

Щоб уникнути подібних загроз, користувачам рекомендується бути обережними з встановленням невідомих додатків та уважно перевіряти посилання в повідомленнях, навіть якщо вони здаються легітимними.