Эксперты по безопасности бьют тревогу в связи с появлением новых версий банковского трояна NGate, ориентированных специально на российских пользователей. Эта вредоносная программа способна передавать данные с чипа Near Field Communication (NFC) скомпрометированного устройства, позволяя злоумышленникам снимать деньги со счетов жертв в банкоматах без их участия.
NGate Torjan
Впервые NGate banker попал в поле зрения антивирусных вендоров осенью 2023 года, когда в специализированных СМИ появились сообщения об атаках на клиентов чешских банков. Злоумышленники использовали методы социальной инженерии, фишинга и вредоносного ПО. Их инновационный подход заключался в получении удаленного доступа к NFC-возможностям жертв. Хотя чешские правоохранительные органы успешно пресекли эту кампанию, идея, заложенная в нее, была адаптирована для российских пользователей с целью незаконного обогащения злоумышленников.
Цепочка компрометации начинается со звонка мошенников, которые завлекают жертв обещаниями социальных выплат или других финансовых выгод. Жертвам предлагают перейти по ссылке на мошеннический сайт, где они неосознанно скачивают вредоносный APK-файл, замаскированный под приложение от популярных российских банков или государственных порталов.
Банковский троян NGate представляет собой модифицированную версию приложения NFCGate с открытым исходным кодом, изначально предназначенного для отладки протоколов передачи данных NFC. Злоумышленники используют эту модификацию для перехвата и передачи трафика приложения NFC на удаленное устройство или собственный смартфон. С помощью добавленной библиотеки nfc-card-reader хакеры также могут удаленно получать номера и даты истечения срока действия карт.
После запуска трояна жертве предлагается положить платежную карту на заднюю панель смартфона, ввести PIN-код и дождаться, пока псевдоприложение распознает карту. Во время этого процесса троян собирает и передает преступникам данные банковской карты жертвы. Важно отметить, что для кражи данных NFC взломанный смартфон не требует root-доступа.
Пока жертва непроизвольно прижимает карту к смартфону, злоумышленник уже может находиться у банкомата и инициировать снятие наличных. Кроме того, эта схема может использоваться для бесконтактной оплаты покупок. Мошенник просто подносит свой телефон в нужный момент, передавая цифровой отпечаток банковской карты жертвы. Затем он может подтвердить транзакцию с помощью ранее полученного PIN-кода.
В заключение следует отметить, что банковский троян NGate эволюционировал специально для российских пользователей, представляя собой серьезную угрозу их финансовой безопасности. Он использует возможности NFC на скомпрометированных устройствах для кражи данных банковских карт, позволяя злоумышленникам осуществлять несанкционированное снятие средств и бесконтактные платежи. Пользователям следует сохранять осторожность, не загружать приложения из ненадежных источников и опасаться любых подозрительных сообщений, связанных с финансовыми выплатами.
Indicators of Compromise
SHA1
- 36db96fb3ea62f6c0208535e618bd55133e9270a
- e44b91099a23e20f28328d76ef0d902980f5fd21
- f90d1f9988da375924b2023d55fb52916bfbc2b9
