Эксперты по кибербезопасности сообщили о волне атак с применением вредоносного приложения для Android, которое перехватывает данные банковских карт и PIN-коды через технологию NFC. В основе лежит модифицированная версия легитимного приложения HandyPay с встроенным вредоносным функционалом, отнесённая к семейству NGate. Об этом рассказали в компании ESET.
Российским пользователям стоит присмотреться к новой угрозе, поскольку схема способна перекочевать в другие регионы и адаптироваться под местную специфику. Механизм атаки крутится вокруг перехвата данных в момент использования бесконтактных платежей владельцем карты.
Распространение зловреда идёт через фишинговые сайты с прямой ссылкой на установку. Пользователю подсовывают программу под видом сервиса защиты банковской карты или другого полезного инструмента для смартфона. Приложение отсутствует в официальных магазинах, поэтому система Android привычно запрашивает разрешение на установку из неизвестных источников.
Работа трояна после установки разбита на несколько этапов. Программа считывает данные банковской карты через NFC в момент прикладывания её к смартфону владельцем. Следом приложение запрашивает PIN-код от карты и фиксирует его в памяти. Собранные сведения уходят на устройства, подконтрольные преступникам, для дальнейшего использования.
Подобная комбинация данных развязывает злоумышленникам руки для проведения бесконтактных операций и снятия наличных в банкоматах. Приложение не вызывает подозрений у пользователя, поскольку опирается на функции обычных платёжных сервисов и внешне ничем от них не отличается.
Особенность атаки кроется в минимальном числе запрашиваемых у пользователя разрешений. Вместо привычного пакета прав программа выбивает себе статус приложения для оплаты по умолчанию. Подобный ход открывает ей доступ к NFC-операциям и заметно снижает шансы быть замеченной антивирусным ПО.
Эксперты ESET предупредили о нарастающей изощрённости подобных схем в последние месяцы. Преступники всё активнее маскируются под легальные технологии и сервисы для обхода защитных барьеров. Риск для пользователей, устанавливающих приложения в обход официальных источников, растёт пропорционально изобретательности авторов зловредов.