Вредонос NGate угрожает владельцам Android

Эксперты Центра реагирования на киберугрозы Польши (CERT Polska) обнаружили обновленную версию вредоносной программы NGate для Android, которая позволяет злоумышленникам снимать наличные в банкоматах без физического наличия карты. Для этого используется технология NFC для считывания данных платежных карт непосредственно со смартфона жертвы.

Как передает Day.Az, информация об этом появилась на официальном сайте CERT Polska.

Атака начинается с фишинговой рассылки и звонков, имитирующих службу поддержки банка. Пользователям предлагают установить приложение для "проверки карты" под предлогом технических неполадок или проблем с безопасностью. После установки программа под видом идентификации запрашивает поднесение банковской карты к смартфону и ввод PIN-кода, параллельно перехватывая все передаваемые данные.

Вредонос регистрируется в системе как HCE-сервис, что позволяет эмулировать виртуальную карту или терминал. Установленное приложение активирует библиотеку libapp.so, которая расшифровывает настройки и устанавливает незашифрованное соединение с командным сервером. Для маскировки параметров используется XOR-шифрование с ключом на основе SHA-256-хеша подписи APK-файла.

NGate функционирует в двух режимах: считывания данных карты жертвы и эмуляции карты в банкомате. Постоянное соединение между устройством преступника и смартфоном жертвы поддерживается с помощью keepalive-пакетов, отправляемых каждые 7 секунд. Специалисты рекомендуют не устанавливать приложения из непроверенных источников и помнить, что банки никогда не запрашивают конфиденциальные данные через сторонние программы.