Вредоносное приложение под названием NGate зафиксировано в ряде стран Европы в конце 2023 года, однако оно распространяется по миру, угрожает и России. Об угрозах NGate сообщило техническое издание Bleeping Computer, ссылаясь на исследование компании-разработчика антивирусов и решений кибербезопасности ESET.
Как работает вирус NGate
Атака идёт в два этапа. Первый этап начинается с вредоносных текстовых сообщений, автоматических звонков с предварительно записанными сообщениями или всплывающей вредоносной рекламы, маскирующейся под срочные обновления системы безопасности и копию интерфейса банка. Испуганный пользователь скачивает вредоносное приложение типа WebAPK из своего браузера напрямую в смартфон, не заходя в маркеты мобильных приложений.
На втором этапе мошенники звонят жертве, представляясь банковскими служащими, и сообщают ей о проблемах с её банковским счётом. Затем они отправляют SMS-сообщение со ссылкой для загрузки NGate.
NGate мошенники при этом позиционируют как приложение для проверки банковской платёжной карты и PIN-кода. Как только жертва сканирует карту с помощью своего смартфона, и вводит PIN-код для якобы проверки его на то, что с картой и счётом всё в порядке, PIN-код передаётся злоумышленникам.
После установки NGate на смартфон это приложение активирует проект с открытым исходным кодом NFCGate, который когда-то был разработан университетскими исследователями для тестирования и экспериментов с NFC. NFCGate поддерживает функции захвата, ретрансляции, повторного воспроизведения и клонирования на устройстве.
NGate использует этот инструмент для сбора данных NFC с платёжных карт в непосредственной близости от заражённого устройства и последующей передачи их на устройство злоумышленника либо напрямую, либо через сервер. Злоумышленник может сохранить эти данные в виде виртуальной карты на своем устройстве и воспроизвести сигнал в банкоматах, использующих технологию NFC для снятия наличных, или произвести платёж в точках продаж [через PoS-терминалы, прим.ред.].
То есть, NFCGate злоумышленник может использовать даже для сканирования и сбора данных карт в кошельках и рюкзаках соседей своей жертвы по метро или магазину, и даже провести с этих карт платёж.
NGate при этом, как отмечают представители ESET, может быть использован не только для взлома банковских карт и кражи средств. Вирус помогает взломать транспортные билеты, идентификационные бейджи крупных компаний, членские карточки и другие объекты с использованием технологий на базе NFC.
Угрожает ли NGate россиянам
Один из самых известных российских «белых» хакеров, генеральный директор «Киберполигона» Лука Сафонов, уже оценил риски распространения NGate в России. Как он отметил в интервью российскому деловому порталу BFM.ru, современные Android-смартфоны достаточно хорошо защищены от вредоносного воздействия. Однако поставить PIN-код для защиты своей карты стоит, если его нет.
Тут вопрос в том, что вы телефон обычно держите в кармане с картами. У многих и кармашек ещё под карты на чехле телефона. И если телефон распознаёт рядом NFT-устройство, он его считывает. Если это карта, то пытается считать данные для пересылки злоумышленникам. Я не думаю, что пока стоит говорить об эпидемии, потому что эпидемия подразумевает большое количество заражений, соответственно, большую огласку. На самом деле он [вирус NGate] больше известен среди экспертов, вирусных аналитиков и так далее.
Сафонов полагает, что это «достаточно сложные атаки», и он сомневается, что российские рядовые пользователи с ним могут столкнуться. Для подобных атак требуется «достаточно дорогостоящее оборудование, настройка по такой именно цели и так далее, поэтому здесь скорее риск минимальный».
Пользователям рекомендуется использовать официальный репозиторий, тем более у нас достаточно популярный сейчас RuStore.Лучше ставить программы через него, не используя какие-то файлообменники сторонние и так далее, в том числе даже Google Play, тот же социальный маркетплейс приложений. Даже он, к сожалению, не гарантирует, что вы не скачаете вирус.
Как защитить Android от взлома NFC
Эксперты по кибербезопасности дают пользователям смартфонов несколько советов:
- если вы не используете NFC активно, вы можете снизить риск взлома, отключив чип NFC на вашем устройстве. Перейдите в раздел «Настройки» , затем в «Подключённые устройства», в «Настройки подключения» и далее в NFC, и установите переключатель в положение «выкл.»;
- если вам необходимо постоянно активировать NFC, внимательно изучите разрешения для всех приложений в смартфоне, и оставьте доступ только для тех приложений, которым это необходимо;
- устанавливайте банковские приложения только с официальной веб-страницы банка, или из официальных маркетов мобильных приложений;
- обязательно убедитесь, что используемое вами приложение не является WebAPK. WebAPK обычно очень маленького размера, устанавливаются прямо со страницы браузера, не отображаются в разделе «/data/app», как стандартные приложения для Android, и содержат нетипично ограниченную информацию в разделах «Настройки» и «Приложения».
Также не следует забывать и об антивирусном решении для смартфона.
Читать материалы по теме:
Россия планирует создать свой реестр «белых» хакеров
Китайские хакеры из группировок APT27 и APT31 атакуют Россию
Украдёт ваши контакты, тексты и нюдсы из переписок: в России найден новый кибершпион LianSpy
Российская Fplus создала первый криптозамок для защищённого управления серверами