Новая киберугроза: преступники перехватывают банковские данные через NFC

Изображение от starline на Freepik

Преступники начали перехватывать банковские данные россиян по беспроводной технологии, используя легальное приложение. О новой угрозе предупредил российский разработчик технологий для борьбы с киберпреступлениями F.A.C.C.T.

Злоумышленники маскируют софт, способный через модули NFC (беспроводной передачи данных на короткие расстояния) перехватывать и передавать данные банковских карт, под приложения популярных госсервисов и официальных органов. Само приложение называется NFCGate.

Хронология

2015 год: студенты Дармштадтского технического университета (Германия) создают мобильное приложение NFCGate в качестве учебного проекта. Программа, предназначенная для захвата, мониторинга и анализа NFC-трафика путем его перехвата и воспроизведения, свободно распространяется в Интернете.

Ноябрь 2023 года: зафиксировано первое применение NFCGate в криминальных целях. Киберпреступники используют обеспечиваемую NFCGate возможность обмениваться данными между двумя смартфонами, на которых установлено приложение.

Август 2024 года: первая атака на пользователей российских банков.

Декабрь 2024-го – январь 2025-го: не менее 400 атак на клиентов ведущих российских банков. Средняя сумма списания – около 100 тыс. рублей, общая сумма ущерба оценивается в 40 млн рублей.

Прогноз: число подобных кибератак на пользователей Android-устройств будет расти на 25–30% ежемесячно.

Атака в два этапа

Атака на пользователей банковских карт проходит в два этапа. 

1️⃣ Этот этап выглядит как рядовое телефонное мошенничество. 

«Жертву под предлогом «защиты» банковской карты, взлома личного кабинета «Госуслуг», продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, требований безопасности, подтверждения личности убеждают в необходимости установки специального мобильного приложения. Внешне оно похоже на легитимное приложение банка или госструктуры, но на самом деле это вредоносная программа на основе NFCGate», – разъясняют борцы с киберпреступностью.

Обнаружено более 100 уникальных образцов такого вредоносного ПО для Android. Злоумышленники маскировали «перехватчика» данных в том числе под приложения популярных госсервисов, Банка России, Федеральной налоговой службы. Примеры названий фейковых приложений: «Защита карт ЦБ РФ», «ЦБРезерв+», «Госуслуги Верификация», «Сертификат Безопасности».

Приложение NFCGate может быть установлено на устройство жертвы даже без ее ведома с использованием троянов удаленного доступа, например CraxRAT, активность которого в России и Белоруссии также зарегистрирована летом прошлого года.

«Такие вредоносные программы распространяют, как правило, через мессенджеры в виде APK-файлов под видом обновлений легитимных приложений, а также фейковых приложений госсервисов, операторов связи и антивирусов», - объясняют в F.A.C.C.T.

2️⃣ После того как приложение на основе NFCGate установлено на смартфоне жертвы, на устройство злоумышленника поступает сигнал о готовности к обмену данными.

«Вредоносная программа предлагает жертве пройти верификацию и для этого приложить банковскую карту к обратной стороне смартфона. Когда пользователь приложит карту к NFC-модулю, эти данные моментально передаются на смартфон злоумышленника. В некоторых случаях приложение предлагает ввести ПИН-код карты, и эта информация также отправляется преступнику», - указывают эксперты.

Если злоумышленник находится возле банкомата, а его смартфон приложен к NFC-датчику банкомата, достаточно ввести полученный от жертвы ПИН-код, чтобы за минуту похитить с карты все деньги. Но кража может произойти не сразу: функционал NFCGate позволяет преступнику записать данные банковской карты жертвы и воспроизвести их позже, например для токенизации карты и покупки в магазине. Если жертва не заблокирует карту после первого инцидента, злоумышленники могут списывать деньги неоднократно.

Опасная схема с большими перспективами

Разобрав «по винтикам» возможности NFCGate и его модификаций, специалисты F.A.C.C.T. сделали несколько выводов о возможном дальнейшем применении этого приложения в преступных целях. 

🔜 В ближайшее время у вредоносного приложения могут появиться новые функции, которые позволят перехватывать СМС и push-уведомления, поступающие на устройство жертвы. 

🔜 Вредоносное ПО на основе NFCGate могут начать распространять по модели Malware-as-a-Service, то есть продавать или сдавать в аренду.

«С момента начала использования NFCGate в атаках на клиентов банки оказались застигнуты врасплох: схема включала в себя социнженерию – телефонное мошенничество, использование легитимного приложения, замаскированного под государственные и банковские сервисы, снятие денег через банкоматы, – комментирует эксперт департамента противодействия финансовому мошенничеству F.A.C.C.T. Fraud Protection Александр Копосов. – Судя по росту числа зафиксированных инцидентов, связанных с NFCGate, большой распространенности устройств, обладающих NFC-датчиком, сравнительной простоте атаки, а также по зафиксированным намерениям злоумышленников модернизировать используемые ими приложения, ожидается дальнейший рост количества атак, совершаемых с использованием технологии NFC».

Советы пользователям банковских карт

❗ Не устанавливать приложения по ссылкам из мессенджеров, СМС или почтовых рассылок – только из официальных магазинов приложений, таких как RuStore и GooglePlay.

❗ Не сообщать посторонним CVV и ПИН-код банковской карты, не вводить эти данные на незнакомых или подозрительных ресурсах.

❗ Получив ссылку для установки или обновления банковского приложения, проверять информацию по телефону горячей линии, указанному на обороте банковской карты.

❗ Сразу блокировать карту по телефону или через банковское приложение при ее компрометации.