Специалисты предупреждают о появлении новых версий банкера NGate, нацеленных на пользователей в России. Этот софт передает тимлиду площадки процессинга данные с NFC-чипа заряженного смартфона холдера, позволяя трейдеру снимать деньги со счетов владельца мобильного телефона в банкоматах без какого-либо участия с его стороны, то есть без разрешения и без его ведома. Напомним, что ранее я уже рассказывал о NGate, и впервые этот банкер попал в поле зрения российских экспертов ещё осенью прошлого года, когда стали появляться сообщения о скаме клиентов крупных чешских и других европейских банков.
Стратегия тимлидов процессинга строилась на комбинации социальной инженерии, фишинга и использования самого софта. И результатом взаимодействия с холдером становился удаленный доступ к NFC-возможностям его платежного средства, смартфона. Ранее специалисты писали, что чешские мундиры уже приняли одного из трейдеров, осуществлявшего такой скам в Праге. Однако, исследователи небезосновательно опасались, что тактика может получить более широкое распространение и представляет серьезный риск для пользователей ОС Android в целом.
Как мне теперь сообщили, тактика действительно была адаптирована для наших российских реалий и уже используется против российских пользователей банковских карт с чипом и банковских приложений. Событием, запускающем цепочку компрометации устройства и банковской карты, судя по всему, является звонок от трейдера, который сообщает холдеру о возможности получить различные социальные выплаты или иную финансовую выгоду. Для этого пользователю якобы необходимо проследовать по присланной ссылке на сайт тимлида процессинга, откуда скачивается уже заряженый файл APK с NGate, замаскированный под популярное приложение портала Госуслуг, Банка России, или одного из других известных банков.
Исследователи напоминают, что банкер NGate представляет собой модификацию опенсорсного приложения NFCGate, которое создавалось для отладки протоколов передачи NFC-данных. NFCGate поддерживает множество функций, но наибольший интерес для трейдеров представляет возможность захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон в кармане тимлида площадки для осуществления процессинга.
Трейдеры процессинга немного модифицировали исходный код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет тимлиду площадки удаленно получить номер карты холдера и срок ее действия.
Так, после запуска приложения холдеру, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдо-приложение распознает карту. В это время происходит считывание данных с банковской карты и передача информации тимлиду процессинга. Исследователи подчеркивают, что для угона NFC-данных смартфон холдера или мамонта как сейчас говорят, не требует root-доступа.
В результате, пока холдер удерживает карту возле своего смартфона, тимлид процессинга уже находятся у банкомата и запрашивает выдачу наличных.
Альтернативным вариантом является реализация данной схемы для бесконтактной оплаты покупок. То есть в момент, когда нужно будет приложить карту к терминалу, трейдер предъявит свой телефон, который передаст цифровой отпечаток банковской карты холдера. Подтвердить операцию трейдер процессинга сможет также полученным раннее PIN-кодом.
