Сообщество кибербезопасности сосредоточило свое внимание на NGate, Вредоносное ПО для Android способно клонировать карты с помощью NFC и передавать эти данные злоумышленникам для снятия денег в банкоматах или оплаты покупок в терминалах. В ходе многочисленных расследований были выявлены активные кампании с весьма убедительной имитацией магазинов и банковских приложений, что делает NGate особенно опасной угрозой для пользователей мобильного банкинга.
Это вредоносное программное обеспечение использовалось в операциях, обнаруженных в Чехия и, совсем недавно, Бразилияс использованием комбинированных тактик смишинга, социальной инженерии и распространения через прогрессивные веб-приложения (PWA/WebAPK) и страницы, имитирующие Google Play. Хотя вектор меняется от кампании к кампании, цель остаётся неизменной: сбор данных NFC и PIN-кодов карт для вывода средств. Банкоматы без физической карты.
Что такое NGate и почему он так опасен?
NGate — это Вредоносное ПО, специфичное для Android Разработан для финансового мошенничества. Его основная функция — использование технологии беспроводной связи ближнего радиуса действия (NFC) для скопировать данные с банковской карты и эмулировать ее с другого устройства, находящегося в руках злоумышленника, который затем может снять наличные или совершить бесконтактную оплату.
Предыдущие расследования подробно описывали его использование против клиенты трех чешских банков (включая чешский Raiffeisenbank и ČSOB) и существование как минимум шести вариантов с индивидуальным внешним видом для каждой организации. Параллельно с этим, в недавних сообщениях описывается кампания, направленная на Бразильские пользователи с весьма искусными имитациями банков и приложений электронной коммерции.
Данная вредоносная программа не была указана в официальном магазине Google: NGate не распространялся в Google PlayВместо этого преступники обратились к WebAPK и PWA, а также к поддельным страницам, имитирующим эстетику Play Store, усиливая обман за счет «установочного» процесса, очень похожего на настоящий.
После того, как устройство подключено, NGate может попросить пользователя Активируйте NFC и введите PIN-кодИнформируя вас с помощью экранов, имитирующих реальные банковские процессы. После сбора информации всё готово к удалённой эмуляции карты и работе в Банкоматы или POS-терминалы, иногда с возможностью изменения лимитов вывода средств, если этого требует мошенничество.
Важно подчеркнуть, что жертве не нужно корень на телефоне. Однако устройство злоумышленника обычно имеет root-доступ для свободного использования инструментов NFC-ретрансляции. На уровне обнаружения различные поставщики классифицируют образцы как Android/Spy.NGate.B o Android/Spy.NGate.BD, в дополнение к эвристикам, таким как «HEUR:Trojan-Banker.AndroidOS.NGate.a».
Кампании и мероприятия: от Чехии до Бразилии
Операторы NGate объединились смишинг, социальная инженерия и веб-приложения По крайней мере с ноября 2023 года в Чехии, первоначально с PWA/WebAPK, а с марта 2024 года — с развитием, которое позволило развернуть сам троян на Android. Эта траектория развития была отражена в технических отчётах, связывающих этапы и инструменты.
В Латинской Америке исследования 2025 года зафиксировали кампанию, направленную на Бразилия который использует сайты, напоминающие Google Play Store и воспроизводящие визуальную идентичность четырех крупных банков (Santander, Banco do Brasil, Itaú и Bradesco), а также платформу электронной коммерции Свободный РынокЦель, как и прежде, — установить вредоносное приложение с возможностью клонирования NFC.
В этой кампании подчеркивается, что вредоносное приложение использует то же имя пакета, что и в предыдущих вариантах: com.billy.cardemvЭто соответствие связывает части с такими семействами, как NGate и PhantomCard, которые уже использовались в предыдущих атаках, что указывает на непрерывность и адаптация для бразильской общественности.
Также сообщалось, что угроза, первоначально признанная в Европе, Позднее он был обнаружен в Латинской Америке.В Бразилии есть конкретные данные. В некоторых случаях кража наличных происходила в том же регионе; в других случаях преступники были арестованы при снятии наличных в банкоматах после использования карт, полученных с помощью мошенничества NGate.
Механизм действия (от заражения до эффективности)
Преступный план состоит из нескольких этапов, которые вместе представляют собой новую атаку на экосистему Android. Ниже кратко излагается его ход с основными этапами, где NFC-реле является дифференцирующим элементом:
1. Первичное заражение через фишинг
Обычно все начинается с приманки в виде SMS-сообщения, в котором говорится о повседневных темах (например, отчет о доходах (или проблемы с аккаунтом), предлагая вам открыть ссылку. Этот URL перенаправляет на мошеннический сайт, который Он имитирует банк или Google Play., с которого жертва скачивает и «устанавливает» якобы легитимное приложение.
2. Установка вредоносных приложений
Злоумышленники используют PWA или WebAPK, чтобы придать своим сервисам естественный вид. приложение-самозванецВ более сложных случаях пакет с поддержкой NGate устанавливается на телефон, замаскированный значком и цветами целевого банка, чтобы незамеченный.
3. Сбор данных
При открытии мошеннического приложения пользователям предлагается ввести банковские данные и другие личные данные, а также активировать NFC. Данные собираются информация о карте (PAN, срок действия, PIN-код, если введен пользователем), идентификаторы устройств и элементы личной идентификации.
4. Использование NFC через NFCGate
NGate включает в себя или полагается на NFCGateNFCGate, академический инструмент, выпущенный Лабораторией безопасных мобильных сетей в Техническом университете Дармштадта (Германия), позволяет захват и повторная передача NFC-трафик от одного мобильного телефона к другому через промежуточный сервер.
5. Сбор и ретрансляция данных
Жертва кладёт карту рядом с телефоном, следуя инструкциям в приложении банка. Вредоносное ПО обнюхивать обмен NFC и отправляет его на сервер управления и контроля (C2) или непосредственно на устройство злоумышленника, подготовленное для эмулировать карту ан Tiempo реальным.
6. Несанкционированные транзакции
Используя эмулированную карту в своем мобильном телефоне, преступник может осуществить снятие наличных в банкоматах бесконтактный или оплата в терминалах продажЕсли соединение NFC не работает, есть план Б: переадресация средств через банковские переводы, менее желательная альтернатива для злоумышленников, поскольку ее легче отследить.
Индикаторы вовлеченности (IoC)
Для облегчения обнаружения и блокировки этих кампаний были опубликованы несколько индикаторов компрометации (IoC), включая: домены, хеши и имена обнаружения связанные с образцами и инфраструктурой, используемой для обмана:
- Обнаружения: Android/Spy.NGate.B, Android/Spy.NGate.BD; HEUR:Trojan-Banker.AndroidOS.NGate.a (среди прочих от разных поставщиков).
- Hash observado: 223D7AA925549C9C657C017F06CF7C19595C2CEE.
- Подмена доменов (размещается в службах страниц): googleplay-santander.pagesdev, googleplay-bb.pagesdev, googleplay-itau.pagesdev, googleplay-mercadolivre.pagesdev, googleplay-bradesco.pagesdev.
- Дополнительная инфраструктура: 5a341dc1-98f9-4264-859a-e8bc6d236024-00-1vfeomyys26m9.janeway.replitdev.
- Пакет повторяется в нескольких вариантах: com.billy.cardemv.
Если вы работаете в группах реагирования, хорошей идеей будет заполнить списки блокировки и SIEM этими данными. Индикаторы и связанные с ними резолюции, и отталкиваться от них для поиска новых итераций.
Как распространяется NGate: тактика распространения
Обычный вход на устройстве - это smishing (SMS с вредоносными ссылками) в сочетании с вызовы социальной инженерии в котором актеры выдают себя за сотрудников службы поддержки банка, чтобы «проверить» транзакции и заставить пользователя ввести ПИН-код или приложить карту к мобильному телефону.
Помимо СМС, преступники используют такие каналы, как электронное письмо с вложениями или ссылками, прямые сообщения в социальных сетях, вредоносная реклама, несанкционированные загрузки, неофициальные репозитории программного обеспечения, сети P2P, пиратский контент, «кряки» и поддельные обновления которые могут включать в себя установщики вредоносных программ.
В некоторых сценариях семейства вредоносных программ способны саморазмножаться в локальных сетях или через съемные устройства (SD-карты, USB-накопители), что требует принятия дополнительных мер предосторожности, если ресурсы совместно используются устройствами.
Симптомы, повреждения и риски
NGate предназначен для работы с тихий шумПоэтому во многих случаях явных признаков заражения не наблюдается, за исключением едва заметных признаков поведения (сетевая активность, необычное использование). Однако последствия весьма значительны: пустая трата денег, раскрытие персональных данных и риск выдачи себя за другое лицо.
Поскольку техника позволяет эмулировать карты и совершать транзакции Без бесконтактных платежей пользователи могут не заметить транзакции, пока не увидят их в выписке. Поэтому так важно отслеживать уведомления банка и активировать оповещения. деятельность в банкоматах и POS-терминалах, особенно если часто используется NFC.
Обнаружение и устранение: что вы можете сделать
Если вы подозреваете инфекцию, проведите тест с надежное антивирусное решениеНекоторые руководства по уборке рекомендуют использовать такие продукты, как Combo Cleaner (требуется лицензия для получения полного набора функций; имеет ограниченную 7-дневную пробную версию), которые могут обнаружить и удалить много известных вариантов.
Полное сканирование системы необходимо, поскольку усовершенствованное вредоносное ПО Часто он прячется глубоко внутри устройства. После дезинфекции рассмотрите возможность смены банковских данных и проверки транзакций в вашем банке, чтобы... блокировать мошенничество в процессе
УвеличитьИмеются предыдущие технические анализы растущих рисков атак NFC на Android и важности Загружайте приложения из официальных магазиновИх стоит изучить, если вы управляете флотом или занимаетесь укреплением мобильных систем.
Некоторые финансовые CSIRT-ы выпустили сводные оповещения Они приглашают участников присоединиться к команде, чтобы получить доступ к подробной информации о корреляции, смягчении последствий и мониторинге. В одном из писем содержится контактная информация для прямой связи с командой.
Краткое руководство по Android: гигиена, настройки и восстановление
Chrome: Очистка истории и данных браузера
Откройте меню Chrome (три точки), введите запись и выберите «Очистить данные браузера». На вкладке «Дополнительно» выберите временной интервал и типы данных, которые вы хотите удалить, и подтвердите, нажав «Удалить данные».
Chrome: отключите надоедливые уведомления
Перейдите в Настройки > Настройки сайта > Уведомления. Найдите сайты, которые отправляют уведомления в ваш браузер, и нажмите «Очистить и сбросить». При повторном посещении они могут запросить разрешение опять таки.
Chrome: Сбросьте приложение
В разделе «Системные настройки» > «Приложения» > «Chrome» > «Хранилище» введите Управление хранилищемНажмите «Удалить все данные» и подтвердите. Помните, что логины, история и предпочтения не предопределено.
Firefox: удаляет следы
Откройте меню (три точки), введите запись Затем нажмите «Удалить личные данные». Выберите, что именно нужно удалить, и подтвердите удаление, нажав «УДАЛИТЬ ДАННЫЕ». limpiar Навигатор.
Firefox: отключить уведомления
Посетите сайт, на котором отображаются оповещения, нажмите значок рядом с URL-адресом и нажмите Изменить настройки сайтаВыберите Уведомления и подтвердите удаление, нажав УДАЛИТЬ. разрешений.
Firefox: Сбросить настройки приложения
В разделе «Системные настройки» > «Приложения» > Firefox > «Хранилище» нажмите УДАЛИТЬ ДАННЫЕ И подтвердите. Как и в Chrome, сеансы, история и настройки персонализированный.
Удалите подозрительные приложения
В разделе «Настройки» > «Приложения» просмотрите список и удалите всё, что вам не знакомо или чем вы не пользуетесь. Если это не поможет, попробуйте Безопасный режим для удаления вредоносных приложений, которые блокируют собственное удаление.
Загрузитесь в безопасном режиме
Нажмите и удерживайте кнопку питания, нажмите «Выключить», а затем снова нажмите и удерживайте значок, чтобы включить его. Безопасный режимПерезагрузите в этом режиме и удалите приложения. злонамеренный которые сопротивляются.
Проверьте расход батареи
В разделе «Настройки» > «Обслуживание устройства» > АккумуляторПроверьте использование приложений. Высокие и постоянные расходы без объяснения причин могут быть тревожным сигналом. деятельность злонамеренный.
Мониторинг использования данных
В разделе «Настройки» > «Подключения» > Использование данныхОн проверяет данные как мобильной сети, так и сети Wi-Fi. Необычный трафик от приложений, которыми вы не пользуетесь, может указывать на проблему. эксфильтрация.
Установите последние обновления
В настройках > Обновление программного обеспеченияНажмите «Загрузить обновления вручную» и примените все доступные исправления. Также включите Загружать обновления автоматически чтобы держать вас в курсе событий.
Оценить реставрации
В разделе «Настройки» > «О телефоне» > ВосстановлениеВы можете сбросить только системные параметры, только сеть или выполнить сброс настроекПримечание: последний вариант полностью стирает содержимое устройства.
Проверьте приложения с правами администратора
В разделе «Настройки» > «Экран блокировки и безопасность» > «Другое» Настройки безопасности > Приложения администратора устройства, отключите все приложения, которым не нужно иметь разрешения администрация.
Часто задаваемые вопросы
Необходимо ли форматировать хранилище? Чтобы избавиться от NGate? В большинстве случаев — нет. Обычно достаточно тщательной очистки, удаления и хорошего антивируса. оставьте устройство чистым.
Какой ущерб может нанести NGate?Помимо опустошения счетов через снятие наличных и бесконтактные платежи, это может привести к нарушения конфиденциальности и привести к краже личных данных посредством раскрытия данных.
Какова основная мотивация?Преобладает экономическая выгода, хотя, как и в случае с другими вредоносными программами, существуют также случаи, мотивированные развлечением, местью, hacktivismo или политических целей.
Как это проникло в Android?? В первую очередь, через звонки со смишингом и социальной инженерией, но также и через традиционные каналы: спам, несанкционированные загрузки, сторонние репозитории, P2P, кряки, поддельные обновления и даже распространение по локальным сетям или съемным носителям.
Поможет ли мне Combo Cleaner защититься?Он может обнаружить и удалить многие известные заражения Android; запуск сканирования имеет решающее значение. полное сканирование поскольку сложные угрозы часто скрываются глубоко в окружающей среде.
Основные технические и эксплуатационные характеристики
- Недоступно в Google PlayВ кампаниях используются PWA/WebAPK и страницы, имитирующие магазин.
- Новая цепочка атак: фишинг + социальная инженерия + ретрансляция NFC с NGate/NFCGate.
- Сфера деятельности: задокументированная активность с 2023 года в Чехии; новые кампании в Бразилии.
- Нет прав root на жертвеТелефон злоумышленника обычно имеет root-доступ; жертве это не нужно.
Результаты показывают, что NGate полностью использует возможности NFC-стека Android с помощью NFCGate, академический проект, доступный на GitHub, изначальной целью которого было исследование (захват, анализ и управление трафиком NFC), но который здесь используется не по назначению мошенничество с банкоматамиСочетание с социальной тактикой, когда жертве предлагают вставить карту в мобильный телефон и ввести PIN-код, облегчает завершение атаки. в реальном времениЭто создаёт копию карты на устройстве злоумышленника, позволяя ему снять наличные за считанные минуты. При первых признаках опасности рекомендуется активировать протоколы реагирования, согласовать действия с банком, сменить учётные данные и укрепить привычки безопасного скачивания и использования браузера. закрыть дверь будущим инфекциям.
