Поделиться
F6: раскрыт новый способ бесконтактной кражи денег
Компания F6, разработчик технологий для борьбы с киберпреступностью, обнаружила новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков. Главное отличие: вместо перехвата NFC-данных карты пользователя злоумышленники создают на его устройстве клон собственной карты. Когда в результате атаки мошенников жертва через банкомат попытается зачислить деньги на свой счет, вся сумма отправится на карту дропа. Общий ущерб клиентов российских банков от использования всех вредоносных версий NFCGate за I квартал 2025 г. составил 432 млн руб. Об этом CNews сообщили представители F6.
Хищник 2.0
Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 отмечают стремительное развитие вредоносного софта, способного через NFC-модули дистанционно перехватывать и передавать данные банковских карт. Первая атака с применением NFCGate в России произошла в августе 2024 г., а уже по итогам I квартала 2025 г. общий ущерб от использования всех вредоносных версий этого софта составил 432 млн руб. Каждый день с января по март преступники совершали в среднем по 40 успешных атак. Средняя сумма ущерба от действий злоумышленников, использующих NFCGate, составила 120 тыс. руб.
NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 г. На его основе злоумышленники создали вредоносное ПО. При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести ПИН-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счета пользователя в банкомате. Впервые исследователи F6 описали использование NFCGate в криминальных целях в январе 2025 г.
В феврале 2025 г. компания F6 зафиксировала появление принципиально новой сборки NFCGate, которая используется в так называемой «обратной» схеме. Разработчики вредоносного ПО адаптировали приложение под готовый сервис для мошеннических колл-центров. При использовании первых версий NFCGate сообщники преступников, дропы, приходили к банкомату, чтобы снять деньги жертвы. Обратная версия NFCGate позволяет пропустить этот шаг: мошенники под разными предлогами направляют жертву к банкомату, чтобы зачислить деньги якобы самому себе, но на самом деле – преступникам.
Счет в пользу мошенников
Атака на пользователей банковских карт с использованием обратного NFCGate проводится в два этапа. Вначале преступники действуют по стандартному для схемы с NFCGate сценарию. Используя приемы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы. Злоумышленники объясняют, что это требуется, например, для «защиты» банковского счета или получения более выгодных условий обслуживания в виде вклада с повышенной процентной ставкой. Кроме того, в марте 2025 г. мошенники стали предлагать потенциальным жертвам внести сбережения на счет цифрового рубля.
Если пользователь поверит злоумышленникам, перейдет по ссылке, установит вредоносный софт и запустит его, приложение предложит сделать его основным для бесконтактных платежей. Изученные аналитиками компании F6 образцы ВПО маскировались под приложения финансового регулятора.
После установки приложения в качестве платежной системы по умолчанию смартфон пользователя незаметно для владельца устанавливает контакт с устройством злоумышленников. Затем на смартфон жертвы отправляются NFC-данные банковской карты мошенников и происходит ее эмуляция.
На втором этапе атаки пользователя убеждают отправиться к банкомату: якобы для того, чтобы зачислить сбережения на свой счет. Это похоже на распространенный сценарий мошенничества с «безопасным счетом». Разница в том, что пользователя не просят назвать код из SMS и не пытаются выведать другую чувствительную информацию, чтобы не вызвать подозрений в обмане. Напротив, пользователю сообщают «новый» ПИН-код якобы от его же карты.
Когда жертва приложит свое устройство к NFC-датчику банкомата, произойдет авторизация карты дропа. Банкомат потребует ввести ПИН-код, который уже продиктовали мошенники. Пользователь считает, что проводит зачисление денег на свой счет, однако эта сумма отправляется мошенникам.
Найти семь отличий
По данным департамента Fraud Protection компании F6, только за март 2025 г. преступники совершили более 1000 подтвержденных атак на клиентов ведущих российских банков с применением обратной версии NFCGate. В этих атаках участвовали несколько сот карт дропов. Таким образом, злоумышленники используют одну карту как минимум для трех-четырех атак. Средняя сумма ущерба от атак с применением обратной версии NFCGate по итогам марта составила около 100 тыс. руб.
Аналитики компании F6 внимательно изучили новую версию вредоносного софта и ее преступные возможности. Спойлер: защититься от новой сборки вредоносного софта можно, но популярные антивирусы еще не научились распознавать ее на лету.
Семь основных технических отличий обратного NFCGate от предыдущих модификаций:
1. При установке приложения пользователю не предлагают приложить карту к NFC-модулю и ввести ПИН-код.
2. Для использования вредоносного приложения требуется меньше разрешений, чем для легитимного NFCGate.
3. Маскируется под приложение для бесконтактных платежей.
4. Для воспроизведения NFC-трафика не требуются root-права. Злоумышленники обошли эту необходимость путем запроса у пользователя установки вредоносного ПО в качестве платежной системы по умолчанию.
5. Расширен перечень команд, получаемых приложением с сервера злоумышленников.
6. Реализован механизм сокрытия вредоносного софта с главного экрана смартфона. Пользователь сможет найти это приложение только в настройках устройства.
7. Использована комбинация техник, чтобы усложнить обнаружение угрозы антивирусами и другими средствами детектирования вредоносного софта. По исследуемым образцам аналитики F6 фиксировали отсутствие реакции популярных антивирусов на обратную версию NFCGate.
«В руках киберпреступников легитимное приложение NFCGate быстро превратилось в одну из главных угроз для клиентов российских банков, и злоумышленники продолжают непрерывно ее совершенствовать. Каждый месяц появляются новые, еще более опасные модификации, которые получают дополнительные возможности для обхода антифрод-решений и ограничений, маскировки и кражи денег пользователей. Масштабы распространения NFCGate в России говорят о его активном использовании киберпреступниками. Это цифровое оружие с недавних пор свободно продается в даркнете. Высокая цена и схемы продажи обратной версии NFCGate могут указывать на большой спрос со стороны злоумышленников, а также масштаб ожиданий киберпреступников от применения этого инструмента», – отметил Дмитрий Ермаков, руководитель департамента Fraud Protection компании F6.
Рекомендации специалистов F6 для пользователей
Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
Не переходите по ссылкам из смс и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.
Не устанавливайте приложения по рекомендациям незнакомцев, а также по ссылкам из SMS, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay. Перед установкой обязательно проверяйте отзывы на приложение, обращая особое внимание на негативные отзывы – это поможет определить поддельные и потенциально опасные программы.
Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.
Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте ее, позвонив на горячую линию банка, или с использованием банковского приложения.
Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.
Для защиты своего устройства от обратной версии NFCGate: Проверьте в настройках устройства, какие приложения имеют разрешение на управление модулем NFC. Если на устройстве вы обнаружили подозрительное приложение, имеющее такое разрешение, но вы не знаете, для чего оно вам нужно, вы не устанавливали либо установили по рекомендации неизвестных, рекомендуем удалить такое приложение. Проверьте, какие приложения имеют доступ к платежной системе устройства. Если в качестве платежной системы по умолчанию выбрано подозрительное приложение, которое вы не устанавливали либо установили по рекомендации неизвестных, функционал которого вам не известен, также рекомендуем удалить такое приложение.
Рекомендации специалистов F6 для подразделений информационной безопасности банков
При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту. Учитывать данные геолокации пользователей. Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации. Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.
Поделиться
Короткая ссылка
