Специалисты компании CERT Polska выявили обновлённую версию вредоносного ПО NGate, предназначенного для устройств на базе Android. Разработчики вируса внедрили в софт возможность не просто красть деньги, но и снимать наличные в банкоматах без физической карты.
Атака начинается с фишинговых писем и телефонных звонков, якобы предлагающих услугу «верификации карты». После установки вредоносного приложения начинается тайный сбор данных о карте и PIN-кодах для NFC; вирус имитирует легитимный процесс идентификации.
NGate маскируется под службу Host Card Emulation (HCE) и имитирует виртуальную карту благодаря библиотеке libapp. Это позволяет вредонросу обмениваться зашифрованными данными с командным сервером.
Вредоносное ПО функционирует в двух режимах: один для сбора данных карты, а другой для эмуляции карты. Вирус поддерживает активное соединение каждые семь секунд, обеспечивая постоянную связь с сервером.