Баффетт.РУ

Компания «Доктор Веб» выявила распространение в России модифицированных версий банковского трояна NGate, способного похищать данные банковских карт через NFC-чип смартфона. Об этом представители компании рассказали изданию CNews, отметив существенное увеличение числа атак с использованием данного вредоносного программного обеспечения.

Вредоносная программа, впервые обнаруженная осенью 2023 года в Чехии во время масштабной атаки на клиентов местных банков, была значительно модернизирована и адаптирована для российского рынка. NGate представляет собой модифицированную версию приложения с открытым исходным кодом NFCGate, которое изначально разрабатывалось для легитимной отладки NFC-протоколов.

По информации вирусных аналитиков, механизм мошенничества начинается с телефонного звонка, во время которого злоумышленники, как правило, представляются сотрудниками государственных органов или финансовых учреждений и предлагают получить социальные выплаты, компенсации или иные финансовые бонусы. Для получения обещанных средств жертве направляется ссылка на фишинговый сайт, где размещено вредоносное приложение, искусно замаскированное под официальные сервисы «Госуслуг», Банка России или крупных коммерческих банков.

«Техническая реализация трояна демонстрирует высокий уровень профессионализма его разработчиков», — отмечают специалисты «Доктор Веб». «Особую опасность представляет то, что для кражи NFC-данных атакуемому устройству не требуется root-доступ, что существенно расширяет круг потенциальных жертв».

После установки троян запрашивает у пользователя приложить банковскую карту к смартфону и ввести PIN-код якобы для верификации личности клиента. В этот момент происходит считывание и передача данных карты злоумышленникам. В состав вредоносного ПО включена специальная библиотека nfc-card-reader, позволяющая получить не только данные NFC-чипа, но также номер карты и срок её действия.

Получив доступ к платежным данным, мошенники могут реализовать два сценария хищения средств: снятие наличных через банкоматы или совершение бесконтактных платежей в торговых точках. В обоих случаях злоумышленники используют собственный смартфон как цифровой клон карты жертвы, а подтверждение операций происходит с помощью полученного ранее PIN-кода.

«Наиболее опасен тот факт, что владелец карты может даже не подозревать о краже данных, пока не обнаружит несанкционированные операции в выписке», — подчеркивают эксперты компании. «При этом временной промежуток между компрометацией карты и actual использованием украденных данных может составлять от нескольких минут до нескольких дней».

Для защиты от подобных атак специалисты «Доктор Веб» разработали комплекс рекомендаций:

• Категорически запрещается сообщать PIN-коды и CVV своих карт третьим лицам
• Необходимо использовать современное антивирусное ПО с актуальными базами данных
• Следует тщательно проверять адреса веб-страниц, особенно при работе с финансовой информацией
• Устанавливать приложения разрешается только из официальных магазинов (RuStore, AppGalery, Google Play)
• Рекомендуется игнорировать звонки от неизвестных лиц, представляющихся сотрудниками банков и госорганов
• При необходимости связаться с организацией следует самостоятельно перезванивать по официальным номерам, указанным на их сайтах

«Мы наблюдаем устойчивый тренд на усложнение методов социальной инженерии и повышение технологичности вредоносного ПО», — комментируют аналитики «Доктор Веб». «В этих условиях критически важно не только совершенствовать технические средства защиты, но и повышать цифровую грамотность пользователей».