Byte/RE ИТ-издание

Новости

Банковский троян NGate: кража денег с помощью NFC

Безопасность
--> 3

Компания «Доктор Веб» сообщила о появлении новых версий банковского трояна NGate, нацеленных на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов пользователя в банкоматах без какого-либо его участия.

Банкер NGate, поясняют эксперты,  впервые стал отслеживаться аналитиками еще осенью 2023 г., когда в профильных СМИ стали появляться сообщения об атаках на клиентов крупных чешских банков. Стратегия злоумышленников строилась на комбинации социальной инженерии, фишинга и использования вредоносного ПО. Эти стандартные тактики воплотились в новаторский сценарий: результатом взаимодействия с жертвой становился удаленный доступ к NFC-возможностям ее платежного средства. Кампания была пресечена органами охраны правопорядка Чехии, однако ее идея была адаптирована для российских реалий и реализована для незаконного обогащения за счет пользователей в России.

Как предполагают эксперты, цепочка компрометации запускается звонком от мошенников, которые сообщают о возможности получить различные социальные выплаты или иную финансовую выгоду. Для этого жертве необходимо пройти по присланной ссылке на мошеннический сайт, откуда скачивается вредоносный APK с трояном NGate, замаскированный под приложение портала Госуслуг, Банка России или одного из популярных банков.

Банковский троян NGate представляет собой модификацию приложения с открытым исходным кодом NFCGate, которое было разработано для отладки протоколов передачи NFC-данных. NFCGate поддерживает ряд функций, однако для злоумышленников наиболее интересны возможность захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон злоумышленников. Преступники модифицировали исходный код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет хакерам удаленно получить номер карты и срок ее действия.

После запуска приложения жертве, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдоприложение распознает карту. В это время данные считываются с банковской карты и передаются преступникам. Важно, что для кражи NFC-данных атакуемый смартфон не требует root-доступа.

Пока жертва удерживает карту приложенной к смартфону, злоумышленник уже будет находиться у банкомата и запрашивать выдачу наличных. Альтернативный вариант – реализация такой схемы для бесконтактной оплаты покупок. И в момент, когда нужно будет приложить карту, мошенник просто предъявит свой телефон, который передаст цифровой отпечаток банковской карты жертвы. Подтвердить операцию он сможет полученным раннее PIN-кодом.

Аналитики «Доктор Веб»  напоминают, что во избежание кражи денег нужно соблюдать следующие правила:

  • не сообщать никому PIN- или CVV-коды своих банковских карт;
  • использовать антивирусное ПО – оно заблокирует скачивание и установку вредоносного ПО;
  • внимательно проверять адреса веб-страниц, где предлагается раскрывать любую финансовую информацию;
  • устанавливать приложения только из официальных источников;
  • не вступать в разговоры с мошенниками.
Вам также могут понравиться

BI.ZONE об атаках с помощью загрузчика GuLoader

Кампания кибершпионажа под видом соискателей

Рейтинги вирусных угроз начала года от PRO32

Отчет «Лаборатории Касперского» о ландшафте киберугроз

F.A.C.C.T. о новой группе кибершпионов – PhantomCore

Приложение Dr.Web для безопасности всей семьи