Deväťdesiat percent škodlivých aplikácií NGate, ktoré ESET zachytil na Slovensku a v Česku, komunikovalo s rovnakým serverom. Za prvé štyri mesiace tohto roka zaznamenali experti viac detekcií tohto malvéru ako za celý rok 2025. Útočníci pritom na Slovensku zneužívajú mená Národnej banky Slovenska aj bankovej aplikácie George od Slovenskej sporiteľne.
Útok nezačína vírusom. Začína telefonátom, pri ktorom sa volajúci predstaví ako zamestnanec banky alebo štátnej inštitúcie a obeť presvedčí, že jej účet je ohrozený. Následne ju navádza na inštaláciu aplikácie mimo Google Play, prípadne na stiahnutie legitímnej aplikácie na vzdialený prístup, cez ktorú do zariadenia nahrá NGate takmer bez povšimnutia. Výskumníci zaznamenali aj prípady, kde falošná aplikácia obsahovala v názve meno konkrétnej obete namiesto názvu banky, informoval server TECHBYTE.sk.
Karta v rukách útočníka
Keď je malvér nainštalovaný, obeť dostane pokyn priložiť platobnú kartu k zadnej strane smartfónu a zadať PIN. NGate NFC dáta z karty zachytí a v reálnom čase ich odošle útočníkovi, ktorý stojí pri bankomate a okamžite ich použije na výber peňazí. Fyzická karta zostane majiteľovi v peňaženke. Útočník ju nikdy nedržal v rukách.
Ako vysvetlil ESET vo svojom výskume, tento mechanizmus zneužíva štandardnú schopnosť NFC čipu v smartfóne čítať dáta z priloženej platobnej karty. Na rozdiel od klasického skimmingu pri bankomate prebieha celý prenos na diaľku a na prvý pohľad nevyzerá podozrivo. Okrem NFC modulu obsahuje NGate aj phishingový komponent: po nainštalovaní zobrazí falošnú stránku imitujúcu bankové rozhranie a vyžiada prihlasovacie údaje, dátum narodenia aj PIN.
Jeden aktér, stovky obetí
Fakt, že deväť z desiatich zachytených aplikácií NGate komunikovalo s rovnakým serverom, naznačuje koordinovanú kampaň jednej skupiny. Portál Techbyte.sk uvádza, že prvé prípady sa objavili v roku 2023 v Česku, kde cielili na klientov tamojších bánk. Na Slovensko sa hrozba rozšírila neskôr, aktuálna vlna je však podľa počtu detekcií najsilnejšia.
Podmienka úspešného útoku je pritom jediná: obeť musí sama nainštalovať škodlivú aplikáciu alebo priložiť kartu k telefónu. Bez tejto spolupráce sa malvér do zariadenia nedostane. Útočníci to vedia, preto stavajú na autorite veľkých inštitúcií a bankovej panike.
Odporúčania ESETu
ESET formuluje niekoľko konkrétnych odporúčaní. Nikdy neinštalujte aplikácie na základe telefonátu, aj keby volajúci tvrdil, že zastupuje banku alebo štátnu inštitúciu. Legitímna banka o nič také nepožiada. Rovnako nevkladajte PIN platobnej karty do mobilnej aplikácie a neprikladajte kartu k telefónu na výzvu neznámej osoby.
Pomáha aj vypnutie NFC v momente, keď ho práve nepotrebujete. Funkcia je na väčšine Android zariadení dostupná v paneli rýchlych nastavení. Experti spoločnosti ESET odporúčajú mať nainštalovaný bezpečnostný softvér schopný NGate zachytiť skôr, než spôsobí škodu. Pri akomkoľvek podozrení treba zavolať priamo na oficiálne číslo banky, nie na číslo, ktoré prípadne poskytne samotný volajúci.
NGate sa prvýkrát objavil v Česku, no aktuálna vlna cieli na oba trhy súčasne. Slovensko pritom nie je vedľajším terčom: útočníci si dali námahu s lokalizáciou kampaní vrátane zneužitia konkrétnych slovenských značiek a inštitúcií.
