Вирусные аналитики «Доктор Веб» предупреждают о появлении новых версий банковского трояна NGate, нацеленных на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без какого-либо участия с её стороны.
Банкер NGate впервые попал на радары антивирусных вендоров еще осенью 2023 года, когда в профильных СМИ стали появляться сообщения об атаках на клиентов крупных чешских банков. Стратегия злоумышленников строилась на комбинации социальной инженерии, фишинга и использования вредоносного ПО. Эти стандартные тактики воплотились в довольно новаторский сценарий: результатом взаимодействия с жертвой становился удаленный доступ к NFC-возможностям её платежного средства. Данная кампания была пресечена органами охраны правопорядка Чехии, однако её идея была адаптирована для российских реалий и реализована для незаконного обогащения за счет пользователей в России.
Событием, запускающее цепочку компрометации, предположительно является звонок от мошенников, которые сообщают о возможности получить различные социальные выплаты или иную финансовую выгоду. Для этого жертве необходимо проследовать по присланной ссылке на мошеннический сайт, откуда скачивается вредоносный APK с трояном NGate, замаскированный под приложение портала Госуслуг, Банка России, или одного из других популярных банков.
Банковский троян NGate представляет собой вредоносную модификацию приложения с открытым исходным кодом NFCGate, которое было разработано для отладки протоколов передачи NFC-данных. NFCGate поддерживает ряд функций, однако для злоумышленников наибольший интерес представляют возможность захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон злоумышленников. Преступники модифицировали исходный код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет хакерам удаленно получить также номер карты и срок ее действия.
После запуска приложения жертве, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдоприложение распознает карту. В это время происходит считывание данных с банковской карты и передача их преступникам. Обратим внимание на то, что для кражи NFC-данных атакуемый смартфон не требует root-доступа.