Byte/RE ИТ-издание

Новости

F.A.C.C.T. об угрозах с использованием NFC-приложения

Безопасность
--> 164

Компания F.A.C.C.T. сообщила о новой угрозе для клиентов российских банков – с использованием легального приложения  NFCGate. ПО, способное через NFC-модули перехватывать и передавать данные банковских карт, маскируют под приложения популярных госсервисов, Центрального банка России, Федеральной налоговой службы.

Эксперты F.A.C.C.T. исследовали новую мошенническую схему, в которой использовано легальное мобильное приложение NFCGate. По оценкам F.A.C.C.T., в декабре 2024-го и январе 2025 г. зафиксировано не менее 400 атак на клиентов ведущих российских банков, средняя сумма списания составила около 100 тыс. руб.

Технология NFC (беспроводной передачи данных на короткие расстояния) дает возможность использовать смартфон как банковскую карту. Данные карты записываются в памяти устройства, а модуль NFC передает их для оплаты, когда смартфон прикладывают к терминалу. Мобильное приложение NFCGate разработали в 2015 г. в качестве учебного проекта студенты Дармштадтского технического университета (Германия). Программа, предназначенная для захвата, мониторинга и анализа NFC-трафика путем его перехвата и воспроизведения, свободно распространялась в интернете. Первое применение NFCGate в криминальных целях зафиксировали в ноябре 2023 г., а в августе 2024 г. произошла первая атака на пользователей российских банков.

Атака на пользователей банковских карт проходит в два этапа. Вначале она напоминает телефонное мошенничество: жертву под предлогом «защиты» банковской карты, взлома личного кабинета «Госуслуг», продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ и т.п. убеждают установить специальное мобильное приложение. Внешне оно похоже на легитимное приложение банка или госструктуры, но на самом деле это вредоносная программа на основе NFCGate.

Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) и департамента киберразведки (Threat Intelligence) компании F.A.C.C.T. обнаружили свыше 100 уникальных образцов такого вредоносного ПО для Android. Злоумышленники маскировали их в том числе под приложения популярных госсервисов, Банка России, Федеральной налоговой службы. Названия фейковых приложений должны были вызывать доверие пользователя: «Защита карт ЦБ РФ», «ЦБРезерв+», «Госуслуги Верификация», «Сертификат Безопасности».

Как отмечают эксперты, злоумышленники могут установить NFCGate на устройство жертвы даже без ее ведома, используя трояны удаленного доступа, например CraxRAT. Такие вредоносные программы распространяют, как правило, через мессенджеры в виде APK-файлов под видом обновлений легитимных приложений, а также фейковых приложений госсервисов, операторов связи и антивирусов.

Киберпреступники используют возможность NFCGate обмениваться данными между двумя смартфонами, на которых установлено приложение. После того, как приложение на основе NFCGate установлено на смартфоне жертвы, на устройство злоумышленника поступает сигнал о готовности к обмену данными. Вредоносная программа предлагает пройти верификацию, приложив банковскую карту к обратной стороне смартфона. Когда пользователь приложит карту к NFC-модулю, эти данные передаются на смартфон злоумышленника. В некоторых случаях приложение предлагает ввести ПИН-код карты, и эта информация также отправляется преступнику.

Если злоумышленник находится возле банкомата, а его смартфон приложен к NFC-датчику банкомата, достаточно ввести полученный от жертвы ПИН-код, чтобы за минуту похитить с карты все деньги. Функционал NFCGate также позволяет преступнику записать данные банковской карты жертвы и воспроизвести их позже, например, для токенизации карты и покупки в магазине. Если жертва не заблокирует карту после первого инцидента, злоумышленники могут списывать деньги неоднократно.

Специалисты F.A.C.C.T. разобрали преступные возможности NFCGate и его модификаций и раскрыли некоторые планы злоумышленников. Эксперты исследовали серверную инфраструктуру для приема и хранения украденных данных, кроме того, удалось обнаружить серверное ПО, которое позволяет вести сборку уникальных вредоносных приложений на основе NFCGate под конкретные атаки.

Аналитики также выяснили, что преступники намереваются в ближайшее время добавить вредоносному приложению новые функции, которые позволят перехватывать СМС и push-уведомления, поступающие на устройство жертвы. Другие полученные данные позволяют сделать вывод, что злоумышленники собираются распространять вредоносное ПО на основе NFCGate по модели Malware-as-a-Service (продавать или сдавать в аренду).

 Чтобы защититься от схемы с NFCGate, эксперты F.A.C.C.T. советуют не устанавливать приложения по ссылкам из мессенджеров, смс или почтовых рассылок, а только из официальных магазинов приложений; не сообщать посторонним CVV и PIN-коды банковских карт; если вам предлагают установить или обновить приложение банка и присылают ссылку, позвонить на горячую линию банка и уточните, действительно ли предложение исходит от банка. Кроме того, специалисты F.A.C.C.T. подготовили рекомендации для подразделений информационной безопасности банков.

Вам также могут понравиться

Совместимость DLP-системы «Солар» и WorksPad

F.A.C.C.T. об атаках Rezet на российские предприятия

BI.ZONE об атаках нового стилера на российские компании

«Доктор Веб» о добыче криптовалюты с использованием стеганографии

BI.ZONE об атаках с помощью загрузчика GuLoader

Банковский троян NGate: кража денег с помощью NFC