NGate: исследователи выявили уникальную схему кражи денег через NFC

Исследователи из компании ESET обнаружили новую вредоносную кампанию, направленную на клиентов трёх чешских банков. Злоумышленники использовали уникальное вредоносное ПО под названием NGate, которое передавало данные с платёжных карт жертв через заражённые Android-устройства на телефон злоумышленника.

Атака представляла собой комбинацию стандартных методов социальной инженерии, фишинга и вредоносного ПО для Android. Предполагается, что мошенники рассылали сообщения на случайные номера телефонов, пытаясь поймать клиентов банков на фальшивые уведомления.

С ноября 2023 года группа злоумышленников активно использовала прогрессивные веб-приложения (PWA) и WebAPK для доставки вредоносного ПО. Однако в марте 2024 года была задействована новая технология — NGate, позволяющая копировать данные NFC с платёжных карт жертв и передавать их на устройство злоумышленника. Это позволило мошенникам сымитировать карту и снять деньги в банкоматах.

Этот вид атаки является первым зафиксированным случаем использования Android-вредоносов с подобными возможностями. Важно отметить, что устройства жертв не требовали рутирования для работы NGate, тогда как даже для ручной эмуляции NFC-карт доступа в бытовых целях на Android традиционно требуется Root.

Основная цель злоумышленников — несанкционированное снятие денег с банковских счетов жертв через банкоматы. Если метод с NFC не срабатывал, злоумышленники имели запасной план — переводить средства жертвы на другие счета.

NGate оказался тесно связан с фишинговой активностью, которую группа вела с ноября 2023 года в Чехии. Однако после ареста подозреваемого в марте этого года, активность злоумышленников снизилась. Задержанного 22-летнего мужчину подозревают в краже денег из банкоматов в Праге. В момент ареста у него было изъято 160 тысяч чешских крон (более 6 тысяч евро), украденных у последних трёх жертв. Тем временем, общая сумма ущерба может быть значительно выше.

Злоумышленники использовали прогрессивные веб-приложения, чтобы замаскировать вредоносное ПО под легитимные банковские приложения. Эти приложения создавали иллюзию реального банковского интерфейса, побуждая жертв вводить свои данные, которые затем отправлялись на серверы злоумышленников.

С появлением NGate атака стала ещё более изощрённой. Вредоносное ПО использовало разработанный в Германии инструмент NFCGate, который изначально предназначался для анализа трафика NFC. NGate использовал этот инструмент для передачи данных с платёжных карт жертв на устройство злоумышленника, что позволяло последнему использовать их для снятия денег.

Подобные атаки можно предотвратить, если следовать нескольким простым правилам: проверять подлинность сайтов, загружать приложения только из официальных источников, хранить свои PIN-коды в тайне и использовать надёжные приложения для защиты мобильных устройств.

Эта история подчёркивает важность цифровой безопасности и бдительности в наше время. Даже привычные технологии, такие как NFC, могут быть использованы во вред, если пользователи не проявляют достаточную осторожность. Защита личных данных и осмотрительность остаются ключевыми факторами для предотвращения подобных угроз.