Новая версия Android-трояна NGate крадёт данные карт и снимает наличные

Новая версия Android-трояна NGate крадёт данные карт и снимает наличные

Новая версия Android-трояна NGate крадёт данные карт и снимает наличные

Исследователи из команды CERT Polska предупредили о новой версии Android-вредоноса NGate. Злоумышленники с его помощью могут снимать наличные в банкоматах с карт жертв, не имея их физически — используя лишь данные, считанные через NFC со смартфона.

По данным исследователей, атака начинается с фишинговой кампании и звонков, имитирующих службу поддержки банка.

Жертвам отправляют поддельные уведомления о «технических проблемах» или «инцидентах в безопасности», предлагая скачать приложение для «проверки карты».

Когда пользователь устанавливает поддельное приложение и следует инструкциям «банковского специалиста», программа просит поднести карту к телефону и ввести ПИН-код — якобы для подтверждения личности. На деле приложение считывает данные бесконтактного чипа карты (EMV) и передаёт их злоумышленникам.

Как отмечают в CERT Polska, «в момент, когда пользователь прикладывает карту, приложение перехватывает весь обмен NFC-данными и отправляет их через интернет на устройство атакующего, стоящего у банкомата. С помощью этих данных и ПИН-кода преступник снимает деньги».

 

NGate регистрируется в системе Android как Host Card Emulation (HCE)-сервис, что позволяет ему имитировать виртуальную карту или терминал. После установки приложение активирует встроенную библиотеку libapp.so, которая расшифровывает настройки, включая адрес командного сервера (91.84.97.13:5653).

Соединение устанавливается по обычному TCP-каналу без шифрования (tls=false) — все данные передаются в открытом виде. Для маскировки параметров, таких как адрес сервера и токен, используется простое шифрование XOR, ключ к которому вычисляется из SHA-256-хеша подписи APK-файла.

При вводе ПИН-кода специальный интерфейс приложения фиксирует все цифры и моментально передаёт полный ПИН-код вместе с данными карты на сервер злоумышленников. CERT Polska отмечает, что код активируется автоматически после ввода четвёртой цифры.

Исследователи установили, что NGate работает в двух режимах:

  • reader mode — считывает данные карты и ПИН у жертвы;
  • emitter mode — эмулирует карту в банкомате для снятия наличных.

Таким образом, происходит «ретрансляция» транзакции в реальном времени: данные, считанные с карты жертвы, немедленно используются на устройстве преступника, стоящего у банкомата. Это позволяет полностью воспроизвести операцию без физического клонирования карты.

CERT Polska также сообщает, что NGate поддерживает постоянное соединение с сервером — keepalive-пакеты отправляются каждые семь секунд, чтобы синхронизация между телефоном жертвы и устройством у банкомата не прерывалась во время операции.

Эксперты предупреждают: единственный способ защититься — не устанавливать приложения из неизвестных источников и не вводить данные карты или ПИН-код по просьбе «банковских сотрудников». Банки никогда не требуют подобных действий через сторонние программы или звонки.

Купоны на топливо оказались приманкой: мошенники собирают данные водителей

Топливная тема снова стала приманкой для мошенников. Эксперты «Лаборатории Касперского» зафиксировали новую волну почтовых рассылок, в которых пользователям обещают купоны на топливо и участие в программах лояльности АЗС.

Только с 30 июня по 1 июля 2026 года специалисты обнаружили более 3 тыс. таких писем.

Пользователю приходит письмо с предложением зарегистрировать купон на топливо. Для этого нужно перейти на сайт и заполнить анкету. На фейковом ресурсе обещают бесплатное оформление, доступ к топливу на АЗС по всей России и быструю подачу заявки. Конечно, всё срочно, выгодно и только сегодня.

Но вместо купона пользователь отдаёт мошенникам свои данные. Причём теперь злоумышленников интересуют не только имя и номер телефона. В анкетах также просят указать марку и модель автомобиля, госномер, предпочитаемый тип топлива и регион использования машины.

По мнению экспертов, такие данные могут использоваться как заготовка для более убедительной атаки. Например, после заполнения анкеты мошенники могут позвонить жертве уже от имени программы лояльности или представителя АЗС. Дальше сценарий может быть любым: эксклюзивная топливная карта, предоплата за бронирование топлива, заправка вне очереди или другая красивая легенда, которая в итоге ведёт к хищению денег.

Для убедительности фейковые сайты копируют элементы настоящих сервисов: фирменное оформление, карты АЗС, личный кабинет, горячую линию и описание преимуществ программы. Всё это бутафория. Дополнительно давят на срочность: количество купонов якобы ограничено, а топливо нужного класса вот-вот закончится.

В «Лаборатории Касперского» напоминают: если за купон, ваучер или льготу просят ввести личные данные, данные машины или заранее перевести деньги — это красный флаг. Проверять нужно адрес сайта, источник письма и не переходить по сомнительным ссылкам.

Ранее специалисты уже фиксировали похожие топливные схемы: фейковые ваучеры на 100 литров топлива и вредоносные Android-приложения под видом сервисов поиска топлива.

Кроме того, на днях Минэнерго заявило о риске сбора данных на сайтах и в сервисах, которые показывают наличие топлива на заправках.

RSS: Новости на портале Anti-Malware.ru