SHA1-хеши:
- 36db96fb3ea62f6c0208535e618bd55133e9270a
Описание
Вредоносный APK для ОС Android. Является модификацией известного трояна-банкера NGate.
Принцип действия
Данное вредоносное ПО основано на исходном коде проекта NFCGate (https://github.com/nfcgate/nfcgate), используемого для захвата, анализа или изменения трафика NFC. Злоумышленники перепаковали приложение, добавив к нему графический интерфейс, имитирующий приложения Госуслуг и ряда российских банков и активировали режим передачи NFC-данных.
При запуске на скомпрометированном устройстве выводит экран, на котором предлагается верифицировать пользователя, для чего необходимо приложить банковскую карту к смартфону и ввести PIN-код. Дополнительно пытается определить номер карты и срок её действия, используя библиотеку nfc-card-reader (https://github.com/vickyramachandra/nfc-card-reader). Для выполнения таких действий не требуется наличие прав пользователя root.
Полученные данные отправляются на промежуточный сервер, а оттуда на устройство злоумышленников, где используются для снятия наличных в банкомате или осуществления бесконтактной оплаты. Передача данных происходит в составе объекта класса NfcComm, который хранит байты NFC и метаданные, и производится в режиме Relay, поддерживаемом кодом NFCGate.
