Обычно для атак на бесконтактные платежи злоумышленники пишут отдельные программы или эксплойты. В случае NGate разработчики выбрали другой подход и встроили вредоносный код в уже существующее платежное приложение. Эксперты компании ESET описали, как NGate для Android использует модифицированную версию легального приложения HandyPay. Вместо создания эксплойта с нуля, хакеры взяли готовое платежное приложение и внедрили в него дополнительный код.

 Изображение: Android Headlines

По словам исследователя кибербезопасности Лукаша Штефанко (Lukáš Štefanko), злоумышленники, вероятно, привлекли методы искусственного интеллекта, чтобы доработать эксплойт, упростить его разработку и усложнить обнаружение. После установки, поддельный HandyPay начинает перехватывать данные NFC‑платежей, когда пользователь прикладывает банковскую карту к телефону. Программа считывает конфиденциальные данные, включая PIN‑код и реквизиты карты, и отправляет их злоумышленникам. Ранее NGate уже фиксировали на кражах платежной информации, но теперь авторы атаки переключились на HandyPay, который запрашивает относительно небольшой набор разрешений и вызывает меньше подозрений у владельцев устройств.

Отчет указывает, что основная цель кампании — пользователи в Бразилии. Жертв побуждают установить измененный HandyPay через поддельные лотерейные сайты или страницы, похожие на официальные объявления приложений, а затем предложить назначить его платежным сервисом по умолчанию. После установки система просит ввести PIN‑код и приложить карту, в этот момент NGate перехватывает данные и передает их преступникам, которые могут снимать наличные или проводить платежи.