Поделиться
Клиентов российских банков впервые пытались атаковать вредоносным приложением SuperCard
Компания F6, разработчик технологий для борьбы с киберпреступностью, зафиксировала первые попытки атак на пользователей в России, в которых использовалось приложение SuperCard — новая вредоносная модификация легитимной программы NFCGate. Весной 2025 г. SuperCard использовалась в атаках на клиентов европейских банков, а меньше чем через месяц злоумышленники протестировали ее в России. Об этом CNews сообщили представители F6.
В мае 2025 г. аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 зафиксировали первые попытки атак на клиентов российских банков с использованием вредоносного программного обеспечения (ВПО) SuperCard. Это приложение позволяет злоумышленникам похищать данные банковских карт путем перехвата NFC-трафика для последующего хищения денег с банковских счетов пользователей.
Незадолго до этого, в апреле 2025 г., итальянская компания Cleafy сообщила об обнаружении MaaS-платформы (malware-as-a-service) SuperCard X, через которую распространяли это вредоносное ПО. Первые атаки с использованием SuperCard исследователи Cleafy зафиксировали в Италии.
Атаки, о которых рассказала Cleafy, аналогичны некоторым из тех, что аналитики F6 описали в первом отчете об использовании NFCGate в криминальных целях в январе 2025 г. и последующих публикациях. Используя приемы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы.
Вредоносные версии NFCGate предлагали к продаже через даркнет и раньше. Такие примеры компания F6 приводила в апрельском исследовании, посвященном «обратной» версии NFCGate. Однако в случае SuperCard впервые продажа вредоносного приложения с таким функционалом производилась с рекламой через Telegram-каналы и сервисной поддержкой клиентов.
Тогда же, в апреле 2025 г., аналитики департамента киберразведки (Threat Intelligence) F6 обнаружили несколько Telegram-каналов на китайском языке, в которых предлагалась подписка на ВПО Supercard. На тот момент специалисты F6 обнаружили, что SuperCard Х поддерживал как минимум китайский и английский языки. На китайском выходили все публикации, работала служба поддержки и боты для покупки подписки, на английском изредка появлялись уточняющие комментарии. Распространялось вредоносное ПО для атак на пользователей крупных банков США, Австралии и Европы.
Никаких ограничений на использование вредоносного ПО в тех или иных странах установлено не было. Ответ на вопрос, когда и как активно киберпреступники начнут применять SuperCard против клиентов российских банков, не заставил себя ждать. Между первым публичным упоминанием вредоносного приложения SuperCard в международном инфополе и первой попыткой атаки с его применением в России прошло меньше месяца.
Аналитики департамента Fraud Protection F6 считают, что киберпреступники тестировали новую разновидность ВПО в России. По такой модели злоумышленники начинали применять в нашей стране первые вредоносные версии NFCGate. По итогам I квартала 2025 г. общий ущерб российских пользователей от использования всех версий NFCGate составил 432 млн рублей, а число скомпрометированных Android-устройств, на которых было установлено такое ВПО, превысило 175 тыс.
Чтобы разобраться, как действует SuperCard, насколько он отличается от уже известных вредоносных модификаций NFCGate, эксперты F6 исследовали семплы нового ВПО. По результатам анализа нескольких образцов приложения Supercard были выявлены их серьезные отличия как в части функциональных возможностей, так и в структуре кода. Вероятная причина таких расхождений – в том, что разработкой исследованных модификаций занимались разные группы злоумышленников. Итоги исследования, индикаторы – в новом блоге на сайте F6.
«Среди всех угроз для клиентов российских банков вредоносные версии NFCGate развиваются самыми быстрыми темпами. Меньше чем за год арсенал злоумышленников, которые действуют против пользователей в России, использующих Android-устройства, расширился до множества модификаций – их число прибавляется почти каждую неделю. Значительные отличия между разными сборками указывают: разработчики криминальных решений непрерывно пересматривают и совершенствуют свои технологии, а организаторы преступных схем находятся в постоянном поиске новых инструментов. Причем используют как собственные разработки, так и заимствуют для атак на клиентов российских банков решения, которые криминал успешно применяет в других странах», – отметил Дмитрий Ермаков, руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6.
Специалисты F6 подчеркивают: для защиты от SuperCard и минимизации рисков, связанных с этим ВПО, достаточно соблюдения тех же рекомендаций, что и для защиты от уже известных вредоносных модификаций NFCGate.
Рекомендации специалистов F6 для пользователей
Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
Не переходите по ссылкам из смс и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.
Не устанавливайте приложения по рекомендациям незнакомцев, а также по ссылкам из SMS, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay. Перед установкой обязательно проверяйте отзывы о приложении, обращая особое внимание на негативные отзывы – это поможет определить поддельные и потенциально опасные программы.
Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.
Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте ее, позвонив на горячую линию банка, или с использованием банковского приложения.
Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.
Для защиты своего устройства от известных версий NFCGate:
Проверьте в настройках устройства, какие приложения имеют разрешение на управление модулем NFC. Если на устройстве вы обнаружили подозрительное приложение, имеющее такое разрешение, но вы не знаете, для чего оно вам нужно, вы не устанавливали его либо установили по рекомендации неизвестных, рекомендуем удалить такое приложение.
Проверьте, какие приложения имеют доступ к платежной системе устройства. Если в качестве платежной системы по умолчанию выбрано подозрительное приложение, которое вы не устанавливали либо установили по рекомендации неизвестных, функционал которого вам не известен, также рекомендуем удалить такое приложение.
Рекомендации специалистов F6 для подразделений информационной безопасности банков
При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту.
Учитывать данные геолокации пользователей.
Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.
Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.
Поделиться
Короткая ссылка
