Польский центр реагирования на киберугрозы CERT Polska сообщил об обнаружении новой версии вредоносного ПО NGate, которое атакует смартфоны на Android и использует их NFC-модуль для кражи денег. В отличие от ранних сборок, нынешняя модификация позволяет преступникам не только платить за покупки, но и выводить наличные в банкоматах, имитируя физическую карту – достаточно лишь данных, украденных со смартфона жертвы.
Атака начинается с классической социальной инженерии: фишинговые письма, SMS или звонки маскируются под службу поддержки банка и предлагают «верифицировать карту» или «решить проблему безопасности». Пользователю присылают ссылку на APK-файл. После установки приложение под видом проверки просит поднести пластиковую карту к телефону и ввести PIN. В этот момент NGate перехватывает весь NFC-трафик и код, регистрируется в системе как HCE-служба и загружает библиотеку libapp.so, которая расшифровывает конфигурацию и открывает канал к командному серверу.
Программа работает в двух режимах. Первый — считывание: смартфон превращается в приёмник реквизитов карт, которые пересылаются злоумышленникам. Второй — эмуляция: те же данные загружаются в устройство преступника, после чего банкомат «видит» полноценную карту и выдаёт деньги без пластика. Для устойчивой связи с инфраструктурой создателей NGate отправляет keepalive-пакеты каждые семь секунд. Чтобы скрыть настройки, используется XOR-шифрование с ключом на основе SHA-256-хеша подписи APK.
Эксперты подчёркивают, что банки никогда не рассылают сторонние приложения и не требуют вводить PIN в непроверенном софте. Рекомендации стандартны, но критичны: загружать программы только из Google Play, проверять запрашиваемые разрешения, отключать NFC, если модуль не нужен, и использовать антивирус с актуальными базами. Обнаружив подозрительное приложение, следует немедленно удалить его, изменить PIN-код карты и сообщить в банк.
CERT Polska уже передал IOC-сигнатуры производителям мобильных антивирусов. Однако специалисты предупреждают: из-за открытого исходного кода NFCGate, на базе которого создан NGate, появление новых форков с аналогичными возможностями — лишь вопрос времени.