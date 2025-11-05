Атака начинается с фишинговых писем и телефонных звонков, якобы предлагающих услугу «верификации карты». После установки вредоносного приложения начинается тайный сбор данных о карте и PIN-кодах для NFC; вирус имитирует легитимный процесс идентификации.

NGate маскируется под службу Host Card Emulation (HCE) и имитирует виртуальную карту благодаря библиотеке libapp. Это позволяет вредонросу обмениваться зашифрованными данными с командным сервером.

Вредоносное ПО функционирует в двух режимах: один для сбора данных карты, а другой для эмуляции карты. Вирус поддерживает активное соединение каждые семь секунд, обеспечивая постоянную связь с сервером.