Эксперты Центра реагирования на киберугрозы Польши (CERT Polska) обнаружили обновленную версию вредоносной программы NGate для Android, которая позволяет злоумышленникам снимать наличные в банкоматах без физического наличия карты. Для этого используется технология NFC для считывания данных платежных карт непосредственно со смартфона жертвы. Информация об этом появилась на официальном сайте CERT Polska.

Атака начинается с фишинговой рассылки и звонков, имитирующих службу поддержки банка. Пользователям предлагают установить приложение для «проверки карты» под предлогом технических неполадок или проблем с безопасностью. После установки программа под видом идентификации запрашивает поднесение банковской карты к смартфону и ввод PIN-кода, параллельно перехватывая все передаваемые данные.

Вредонос регистрируется в системе как HCE-сервис, что позволяет эмулировать виртуальную карту или терминал. Установленное приложение активирует библиотеку libapp.so, которая расшифровывает настройки и устанавливает незашифрованное соединение с командным сервером. Для маскировки параметров используется XOR-шифрование с ключом на основе SHA-256-хеша подписи APK-файла.

NGate функционирует в двух режимах: считывания данных карты жертвы и эмуляции карты в банкомате. Постоянное соединение между устройством преступника и смартфоном жертвы поддерживается с помощью keepalive-пакетов, отправляемых каждые 7 секунд. Специалисты рекомендуют не устанавливать приложения из непроверенных источников и помнить, что банки никогда не запрашивают конфиденциальные данные через сторонние программы.