Вредоносное ПО NGate Mobile
Исследователи по кибербезопасности обнаружили новое вредоносное ПО для Android, способное передавать данные бесконтактных платежей жертв с физических кредитных и дебетовых карт на устройство, контролируемое злоумышленниками, что позволяет совершать мошеннические транзакции.
Эта вредоносная программа, известная как NGate, в первую очередь нацелена на три банка в Чешской Республике. NGate работает путем передачи данных платежных карт с Android-устройства жертвы, на котором установлено угрожающее приложение, на рутированный Android-телефон злоумышленника.
Эта операция является частью более широкой кампании, действующей с ноября 2023 года, которая нацелена на финансовые учреждения в Чехии через скомпрометированные прогрессивные веб-приложения (PWA) и WebAPK. Первый известный случай NGate был обнаружен в марте 2024 года.
Оглавление
Злоумышленники пытаются получить данные платежных карт
Основная цель этих атак — клонировать данные ближней связи (NFC) с физических платежных карт жертв с помощью NGate. Собранная информация затем передается на контролируемое злоумышленником устройство, которое эмулирует оригинальную карту для снятия денег в банкомате.
NGate произошел от легитимного инструмента NFCGate, изначально разработанного в 2015 году для целей исследования безопасности.
Стратегия атаки, вероятно, представляет собой сочетание социальной инженерии и SMS-фишинга, когда пользователей обманным путем заставляют установить NGate, перенаправляя на краткосрочные домены, имитирующие законные банковские сайты или официальные приложения мобильного банкинга в магазине Google Play.
Обнаружено несколько опасных приложений NGate
В период с ноября 2023 года по март 2024 года было выявлено шесть различных приложений NGate, прежде чем их деятельность, вероятно, была остановлена из-за ареста 22-летнего мужчины чешскими властями в связи с кражей средств из банкомата.
NGate не только использует функционал NFCGate для захвата и передачи трафика NFC на другое устройство, но и предлагает пользователям ввести конфиденциальную финансовую информацию, такую как банковский идентификатор клиента, дату рождения и PIN-код карты. Эта фишинговая страница отображается в WebView.
Кроме того, приложение просит пользователей включить функцию NFC на своих смартфонах и приложить платежную карту к задней панели устройства, пока вредоносное приложение не распознает ее.
Злоумышленники звонят жертвам, чтобы использовать их в дальнейшем
Атаки также используют коварный подход, заключающийся в том, что после установки приложения PWA или WebAPK по ссылкам, отправленным в SMS-сообщениях, жертвы подвергаются фишинговым атакам, в результате чего им звонят злоумышленники, которые выдают себя за сотрудников банка и сообщают, что их банковский счет был взломан в результате установки приложения.
Затем им предписывается изменить свой PIN-код и подтвердить свою банковскую карту с помощью другого мобильного приложения (например, NGate), ссылка для установки которого также отправляется по SMS. Нет никаких доказательств того, что эти приложения распространялись через Google Play Store.
NGate использует два различных сервера для упрощения своих операций. Первый — это фишинговый веб-сайт, предназначенный для того, чтобы заманить жертву, заставив ее предоставить конфиденциальную информацию, и способный инициировать атаку ретрансляции NFC. Второй — это сервер ретрансляции NFCGate, задача которого — перенаправлять трафик NFC с устройства жертвы на устройство злоумышленника.
