Исследователи из компании ESET обнаружили новую вредоносную кампанию, направленную на клиентов трёх чешских банков. Злоумышленники использовали уникальное вредоносное ПО под названием NGate, которое передавало данные с платёжных карт жертв через заражённые Android-устройства на телефон злоумышленника.
Атака представляла собой комбинацию стандартных методов социальной инженерии, фишинга и вредоносного ПО для Android. Предполагается, что мошенники рассылали сообщения на случайные номера телефонов, пытаясь поймать клиентов банков на фальшивые уведомления.
С ноября 2023 года группа злоумышленников активно использовала прогрессивные веб-приложения (PWA) и WebAPK для доставки вредоносного ПО. Однако в марте 2024 года была задействована новая технология – NGate, позволяющая копировать данные NFC с платёжных карт жертв и передавать их на устройство злоумышленника. Это позволило мошенникам сымитировать карту и снять деньги в банкоматах.
Этот вид атаки является первым зафиксированным случаем использования Android-вредоносов с подобными возможностями. Важно отметить, что устройства жертв не требовали рутирования для работы NGate, тогда как даже для ручной эмуляции NFC-карт доступа в бытовых целях на Android традиционно требуется Root.
Основная цель злоумышленников – несанкционированное снятие денег с банковских счетов жертв через банкоматы. Если метод с NFC не срабатывал, злоумышленники имели запасной план – переводить средства жертвы на другие счета.
NGate оказался тесно связан с фишинговой активностью, которую группа вела с ноября 2023 года в Чехии. Однако после ареста подозреваемого в марте этого года, активность злоумышленников снизилась. Задержанного 22-летнего мужчину подозревают в краже денег из банкоматов в Праге. В момент ареста у него было изъято 160 тысяч чешских крон (более 6 тысяч евро), украденных у последних трёх жертв. Тем временем, общая сумма ущерба может быть значительно выше.
Злоумышленники использовали прогрессивные веб-приложения, чтобы замаскировать вредоносное ПО под легитимные банковские приложения. Эти приложения создавали иллюзию реального банковского интерфейса, побуждая жертв вводить свои данные, которые затем отправлялись на серверы злоумышленников.
С появлением NGate атака стала ещё более изощрённой. Вредоносное ПО использовало разработанный в Германии инструмент NFCGate, который изначально предназначался для анализа трафика NFC. NGate использовал этот инструмент для передачи данных с платёжных карт жертв на устройство злоумышленника, что позволяло последнему использовать их для снятия денег.
Подобные атаки можно предотвратить, если следовать нескольким простым правилам: проверять подлинность сайтов, загружать приложения только из официальных источников, хранить свои PIN-коды в тайне и использовать надёжные приложения для защиты мобильных устройств.
Эта история подчёркивает важность цифровой безопасности и бдительности в наше время. Даже привычные технологии, такие как NFC, могут быть использованы во вред, если пользователи не проявляют достаточную осторожность. Защита личных данных и осмотрительность остаются ключевыми факторами для предотвращения подобных угроз.