Новая версия Android-трояна NGate крадёт данные карт и снимает наличные

Екатерина Быстрова 05 Ноября 2025 - 10:42

...

Новая версия Android-трояна NGate крадёт данные карт и снимает наличные

Исследователи из команды CERT Polska предупредили о новой версии Android-вредоноса NGate. Злоумышленники с его помощью могут снимать наличные в банкоматах с карт жертв, не имея их физически — используя лишь данные, считанные через NFC со смартфона.

По данным исследователей, атака начинается с фишинговой кампании и звонков, имитирующих службу поддержки банка.

Жертвам отправляют поддельные уведомления о «технических проблемах» или «инцидентах в безопасности», предлагая скачать приложение для «проверки карты».

Когда пользователь устанавливает поддельное приложение и следует инструкциям «банковского специалиста», программа просит поднести карту к телефону и ввести ПИН-код — якобы для подтверждения личности. На деле приложение считывает данные бесконтактного чипа карты (EMV) и передаёт их злоумышленникам.

Как отмечают в CERT Polska, «в момент, когда пользователь прикладывает карту, приложение перехватывает весь обмен NFC-данными и отправляет их через интернет на устройство атакующего, стоящего у банкомата. С помощью этих данных и ПИН-кода преступник снимает деньги».

NGate регистрируется в системе Android как Host Card Emulation (HCE)-сервис, что позволяет ему имитировать виртуальную карту или терминал. После установки приложение активирует встроенную библиотеку libapp.so, которая расшифровывает настройки, включая адрес командного сервера (91.84.97.13:5653).

Соединение устанавливается по обычному TCP-каналу без шифрования (tls=false) — все данные передаются в открытом виде. Для маскировки параметров, таких как адрес сервера и токен, используется простое шифрование XOR, ключ к которому вычисляется из SHA-256-хеша подписи APK-файла.

При вводе ПИН-кода специальный интерфейс приложения фиксирует все цифры и моментально передаёт полный ПИН-код вместе с данными карты на сервер злоумышленников. CERT Polska отмечает, что код активируется автоматически после ввода четвёртой цифры.

Исследователи установили, что NGate работает в двух режимах:

reader mode — считывает данные карты и ПИН у жертвы;
emitter mode — эмулирует карту в банкомате для снятия наличных.

Таким образом, происходит «ретрансляция» транзакции в реальном времени: данные, считанные с карты жертвы, немедленно используются на устройстве преступника, стоящего у банкомата. Это позволяет полностью воспроизвести операцию без физического клонирования карты.

CERT Polska также сообщает, что NGate поддерживает постоянное соединение с сервером — keepalive-пакеты отправляются каждые семь секунд, чтобы синхронизация между телефоном жертвы и устройством у банкомата не прерывалась во время операции.

Эксперты предупреждают: единственный способ защититься — не устанавливать приложения из неизвестных источников и не вводить данные карты или ПИН-код по просьбе «банковских сотрудников». Банки никогда не требуют подобных действий через сторонние программы или звонки.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Ноября 2025 - 15:24

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники крадут личные кабинеты арендодателей через фишинговые ссылки

Компания F6 сообщила о новой мошеннической схеме, направленной на захват личных кабинетов пользователей в сервисах поиска недвижимости. Под видом арендаторов или покупателей злоумышленники связываются с владельцами квартир и присылают фишинговые ссылки, ведущие на поддельные сайты, внешне неотличимые от настоящих.

Когда пользователь переходит по такой ссылке, его просят ввести номер телефона и код подтверждения — после этого мошенники получают доступ к личному кабинету. С его помощью они размещают фальшивые объявления о продаже или аренде жилья, чтобы обмануть новых жертв.

По данным аналитиков, с сентября 2025 года злоумышленники начали создавать сеть ложных доменов, маскирующихся под популярные сервисы недвижимости. Эти сайты регистрировались в доменных зонах .ru, .com, .icu и .digital, а в их адресах часто использовались слова «rent» и «flat».

Фишинговые ссылки распространялись двумя способами.

Через городские телеграм-каналы, где публикуются объявления о съёме и продаже квартир. Мошенники размещали сообщения вроде «Сдам квартиру на длительный срок», добавляя ссылку, которая вела на поддельный сайт.

Прямое общение с владельцами жилья. Преступники писали им в мессенджерах под видом потенциальных арендаторов, утверждая, что нашли «такое же объявление, но с другими данными», и прикладывали ссылку. При переходе по ней пользователи попадали на фишинговую страницу авторизации, где и теряли доступ к аккаунту.

По данным F6, с 10 сентября 2025 года специалисты заблокировали восемь таких доменов, но мошенники могут продолжить регистрировать новые. В ряде случаев поддельные сайты создавались всего за несколько дней до атаки.

По словам экспертов, рост подобных схем может быть связан с тем, что после ужесточения правил регистрации сим-карт мошенникам стало труднее создавать новые фейковые аккаунты. Теперь они предпочитают угонять уже существующие учётные записи, чтобы размещать от имени реальных пользователей объявления-приманки.

Ранее злоумышленники активно использовали классическую схему «мамонт», предлагая арендаторам или покупателям внести предоплату по поддельным ссылкам. Теперь же они переключились на владельцев недвижимости, выманивая у них данные для входа или реквизиты банковских карт.

Эксперты советуют внимательно проверять ссылки, не переходить по ним из чатов и не вводить коды подтверждения вне официальных сайтов.