Исследователи ESET обнаружили вредоносную программу для Android, которая передает данные NFC с платежных карт жертв на устройство злоумышленника, ожидающего у банкомата. Программа, названная NGate, была использована в преступной кампании, нацеленной на клиентов трех чешских банков. Злоумышленники использовали социальную инженерию и фишинг, а также вредоносное ПО для Android, чтобы обмануть клиентов и установить вредоносное приложение на их устройства.
NGate
NGate позволяет злоумышленникам клонировать данные NFC с физических платежных карт жертв и передавать их на устройство злоумышленника, которое затем может эмулировать оригинальную карту и снимать деньги в банкомате. Это первый случай использования вредоносного ПО для Android с такими возможностями. Жертвам не требовалось рутировать свои устройства.
Основная цель этой кампании - облегчить несанкционированное снятие денег в банкоматах с банковских счетов жертв. Для этого злоумышленники использовали передачу данных ближней связи (NFC) с платежных карт жертв через их скомпрометированные Android-устройства с помощью вредоносной программы NGate. Затем злоумышленники использовали эти данные для совершения транзакций в банкомате.
NGate никогда не был доступен в официальном магазине Google Play. Вредоносная программа связана с фишинговой деятельностью злоумышленника, который работал в Чехии с ноября 2023 года. Однако деятельность была приостановлена после ареста подозреваемого в марте 2024 года.
Злоумышленники использовали различные приложения NGate для атаки на клиентов трех чешских банков. Для распространения вредоносного ПО они использовали недолговечные домены, имитирующие легитимные банковские сайты или официальные мобильные банковские приложения, доступные в магазине Google Play. В ходе расследования чешская полиция задержала подозреваемого и изъяла у него более 160 000 чешских корун, похищенных из банкоматов.
Злоумышленники использовали потенциал прогрессивных веб-приложений (PWA) и усовершенствовали свои стратегии с помощью более сложных версий PWA, известных как WebAPK. В конечном итоге они развернули вредоносное ПО NGate. Важно отметить, что для выполнения атаки устройству жертвы не требовался рут, только устройство злоумышленника.
Indicators of Compromise
IPv4
- 172.187.98.211
Domains
- app.mobil-csob-cz.eu
- client.nfcpay.workers.dev
- nfc.cryptomaker.info
- raiffeisen-cz.eu
MD5
- 3c7f107731634fcb7e3f07b693acd4ce
- 633c3636b646bd08af271584c0e41ff9
- 7cecbdfdf2e7a7ae7cc226ae26cd3797
- 84361aaf11cde2df075e65fc31082358
- 8595855eaf9fe0398c8bff7fa06151bf
- ea6a6666616f6b02c7b679782a676eab
SHA1
- 103d78a180eb973b9ffc289e9c53425d29a77229
- 11be9715be9b41b1c8527c9256f0010e26534fdb
- 66de1e0a2e9a421dd16bd54b371558c93e59874f
- 7225ed2cba9cb6c038d8615a47423e45522a9ad1
- da84bc78ff2117ddbfdcba4e5c4e3666eea2013e
- e7ae59cd44204461edbddf292d36eeed38c83696
SHA256
- 162f8c6bafe0c343c37f173344c4f6880eaec0aea7b491565db874366b161784
- 17a16f08108e25af1c8b058adbaca2cada6a93c2d38c9854148f9e9caac76ac3
- 1d126e5904dde3b46175a4aae89eec1fb8a6b80e35b1f473878e5dd288f8aae6
- 95d906dca5a3be5cf066268662b3c953860e54e9cdcfcd427faf0aaa9cb62bad
- ddd9e5cfa9e1ddd8d849baef2b487a1608d1695f44c70f246c101de1275887dd
- e19a7c8e4994ea4ed680136c9e3a6fff7b82c72f5743952821a446b6cb830f06
