Новое вредоносное ПО для Android крадет данные NFC-карты для снятия денег в банкоматах

Новое вредоносное ПО для Android предназначено для кражи данных карт жертв и передачи данных карты злоумышленнику для снятия денег в банкоматах.

По данным исследователей безопасности из ESET, криминальная кампания по разработке программного обеспечения, действующая с марта 2024 года, была нацелена на клиентов трех чешских банков.

Эта программа использует NGate, новое вредоносное ПО, которое жертва невольно загружает на свое устройство после многоэтапной фишинговой кампании.

После установки и открытия NGate отображает поддельный веб-сайт, запрашивающий банковскую информацию жертвы, которая затем отправляется на сервер злоумышленника.

Однако самая интересная функция под названием «NFCGate» передает данные ближней бесконтактной связи (NFC) между устройствами жертвы и злоумышленника. NFC — это беспроводная технология ближнего действия, используемая для бесконтактных платежей в магазинах, а также для снятия средств в банкоматах при использовании в сочетании с PIN-кодом пользователя.

Подробнее об угрозах для банкоматов: в Бельгии произошла первая атака с использованием джекпотинга

NGate предлагает жертвам ввести информацию, включая банковский идентификатор клиента, дату рождения и PIN-код карты. По данным ESET, они также просят включить NFC на своем смартфоне и просят жертву положить свою платежную карту рядом с устройством, чтобы вредоносное приложение распознало карту.

Используя украденные данные NFC и PIN-код, злоумышленник может выдать себя за жертву в банкомате, чтобы снять деньги. Если это не сработает, у злоумышленника все еще есть поддельная банковская информация для доступа к счету жертвы и перевода денег, утверждает ESET.

Одно и то же вредоносное ПО NGate может быть использовано злоумышленниками посредством физической близости для считывания данных бесконтактных карт через оставленные без присмотра сумки и тому подобное. Однако, согласно отчету, если эта технология будет использоваться для копирования и имитации карт жертвы, она облегчит лишь небольшие бесконтактные платежи.

Как работает вредоносное ПО NGate?

Многоэтапная атака работает следующим образом:

• Злоумышленник отправляет жертве фишинговую ссылку по SMS.
• Жертва невольно устанавливает вредоносное банковское приложение, похожее на исходное приложение, которое просит пользователя ввести банковскую информацию.
• Вредоносное приложение отправляет на сервер злоумышленника поддельные банковские учетные данные.
• Злоумышленник связывается с жертвой, выдавая себя за сотрудника банка, симулирует нарушение безопасности и призывает его сменить ПИН-код и подтвердить карту через вредоносное приложение.
• Злоумышленник отправляет ссылку по SMS для загрузки вредоносного ПО NGate.
• NGate передает PIN-код жертвы и NFC-трафик с ее платежной карты

«Обеспечение защиты от таких изощренных атак требует принятия определенных превентивных мер против таких тактик, как фишинг, социальная инженерия и вредоносное ПО для Android», — объяснил Лукаш Стефанко, исследователь вредоносного ПО в ESET.

«Это означает проверку адресов веб-сайтов, загрузку приложений из официальных магазинов, сохранение в секрете PIN-кодов, использование приложений безопасности на смартфонах, отключение функции NFC, когда она не нужна, использование защитных чехлов или использование виртуальных карт, защищенных аутентификацией».