Специалисты предупреждают о появлении новых версий банкера NGate, нацеленных на пользователей в России. Этот софт передает данные с NFC-чипа заряженного смартфона терпилы, позволяя дроповоду снимать деньги со счетов холдера в банкоматах без какого-либо участия с его стороны, то есть без разрешения и без его ведома. Напомним, что ранее мы уже рассказывали о NGate, и впервые этот банкер попал в поле зрения экспертов еще осенью прошлого года, когда стали появляться сообщения о скаме клиентов крупных чешских и других европейских банков.
Стратегия дроповодов строилась на комбинации социальной инженерии, фишинга и использования самого софта. И результатом взаимодействия с холдером становился удаленный доступ к NFC-возможностям его платежного средства, смартфона. Ранее специалисты писали, что чешские мундиры уже поймала одного из дроповодов, осуществлявшего такой скам в Праге. Однако, исследователи небезосновательно опасались, что тактика может получить более широкое распространение и представляет серьезный риск для пользователей ОС Android в целом.
Как нам теперь сообщили, тактика действительно была адаптирована для наших российских реалий и уже используется против российских пользователей банковских карт с чипом и приложений. Событием, запускающем цепочку компрометации устройства и банковской карты, судя по всему, является звонок от дроповода, который сообщает холдеру о возможности получить различные социальные выплаты или иную финансовую выгоду. Для этого пользователю якобы необходимо проследовать по присланной ссылке на сайт дроповода, откуда скачивается уже заряженый файл APK с NGate, замаскированный под приложение портала Госуслуг, Банка России, или одного из других популярных банков.
Исследователи напоминают, что банкер NGate представляет собой модификацию опенсорсного приложения NFCGate, которое создавалось для отладки протоколов передачи NFC-данных. NFCGate поддерживает множество функций, но наибольший интерес для дроповодов представляет возможность захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон в кармане дроповода для осуществления процессинга.
Дроповоды немного модифицировали исходный код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет дроповоду удаленно получить номер карты холдера и срок ее действия.
Так, после запуска приложения терпиле, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдоприложение распознает карту. В это время происходит считывание данных с карты и передача информации дроповодам. Исследователи подчеркивают, что для угона NFC-данных смартфон терпилы не требует root-доступа.
В результате, пока терпила удерживает карту возле своего смартфона, дроповод уже находятся у банкомата и запрашивает выдачу наличных.
Альтернативным вариантом является реализация данной схемы для бесконтактной оплаты покупок. То есть в момент, когда нужно будет приложить карту к терминалу, дроповод предъявит свой телефон, который передаст цифровой отпечаток банковской карты холдера. Подтвердить операцию дроповод сможет также полученным раннее PIN-кодом.
No comments:
Post a Comment