Kasa momentalnie znika z konta. Użytkownicy Androida zagrożeni

Firma ESET ostrzega przed nową wersją malware'u o nazwie NGate. Pierwsza wersja została wykryta w połowie 2024 roku. Oprogramowanie służy do kradzieży danych płatniczych karty, aby wykorzystać je do przeprowadzania nieautoryzowanych transakcji. Nowe wydanie podszywa się pod popularną aplikację.

Malware podszywa się pod znaną aplikację

Cyberprzestępcy przygotowali własną wersję legalnej aplikacji HandyPay (do komunikacji NFC), w którą wstrzyknięto kod malware NGate. Dobra informacja jest taka, że zainfekowana aplikacja nigdy nie była dostępna w Google Play. Zamiast tego jest dystrybuowana zewnętrznie (np. przez fałszywą stronę przypominającą Google Play lub domenę atakujących).

Po instalacji prosi o ustawienie jej jako domyślnej aplikacji płatniczej, a następnie żąda wpisania PIN‑u do karty i przyłożenia fizycznej karty do telefonu z włączonym NFC. W ten sposób NGate przechwytuje dane z karty (przez NFC) i PIN. Następnie wysyła je do serwera lub na e‑mail atakujących, a ci wykorzystują je na swoim urządzeniu przy bankomacie lub w terminalu z NFC, jakby mieli twoją kartę fizycznie przy sobie.

Z perspektywy polskich użytkowników pocieszający może być fakt, że kampania skierowana jest przede wszystkim w brazylijskich użytkowników Androida. To jednak kolejna przestroga, aby nie instalować aplikacji z nieznanych i niepewnych źródeł. Chociaż w Google Play też zdarzają się szkodliwe aplikacje, to jednak jest to nieporównywalnie bezpieczniejsze źródło.

Dlatego warto pamiętać o kilku zasadach bezpieczeństwa: