Поделиться
Новый вредонос для Android крадет данные кредитных карт, чтобы ограбить доверчивых пользователей с помощью NFC
Отмечена очередная волна атак, нацеленных на смартфоны, снабженные модулем NFC. Злоумышленники обманом заставляют пользователей установить себе вредонос, который крадет информацию о платежных картах.
Ваш PIN, пожалуйста
Через Telegram активно рекламируется вредоносная платформа SuperCard X, которая предлагает киберзлоумышленникам инструментарий для осуществления атак разновидности NFC Relay (переадресация NFC). С ее помощью мошенники могут осуществлять контактные платежи на точках продаж и транзакции через банкоматы «от имени» пользователя, чей смартфон был предварительно скомпрометирован.
Подобные атаки были зафиксированы впервые в 2023 г. в Чехии, а со второй половины 2024 г. подобные атаки начались и в России, застав многих врасплох.
Нынешняя волна атак, по данным фирмы Cleafy, наблюдается в основном в Италии. Причем перехваченные экспертами сэмплы отличаются друг от друга. Это может указывать на то, что «партнеры» SuperCard X имеют возможность настраивать вредоносную программу по своему усмотрению.
Атака начинается с SMS-сообщения или сообщения в WhatsApp от лица банка, извещающего пользователя о якобы имевшей место подозрительной транзакции, и предложением срочно позвонить по указанному в сообщении номеру, чтобы разрешить «недоразумение».
Поддавшейся на эту уловку потенциальной жертве отвечает мошенник, выдающий себя за сотрудника службы поддержки банка.
Используя приемы социальной инженерии, пытается выведать у жертвы и номер карты, и персональный идентификационный номер (PIN).
«Настоящие работники банков, если только они не вовлечены в мошенническую деятельность, никогда не запрашивают этих данных», - говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. «Поэтому как только подобный вопрос задается, общение необходимо немедленно прерывать. Соблюдение этого правила поможет избежать множества неприятностей».
Акт II
Злоумышленники также пытаются убедить пользователя отключить ограничения расходов в своем банковском приложении, а также установить на смартфон программу Reader, выдаваемую за инструмент безопасности или верификации. В действительности, именно в ней содержится основной вредонос SuperCard X.
Reader запрашивает лишь минимальные разрешения, в первую очередь, доступ к NFC-модулю. Этого достаточно для кражи данных.
Затем мошенники пытаются убедить жертву прижать платежную карту к их смартфону, чтобы «верифицировать» ее, - в этот момент вредонос считывает данные с микросхемы карты и отправляет ее злоумышленнику.
А у того на собственном устройстве установлено другое приложение - Tapper, предназначенное для эмуляции платежной карты жертвы (естественно, с использованием украденных данных).
С ее помощью злоумышленник может выводить деньги со счета жертвы малыми порциями или совершать множество покупок от ее имени.
К сожалению, эти транзакции совершаются моментально и для банковских систем выявления мошенничества выглядят совершенно легитимными, Из-за этого их очень трудно вовремя обнаружить и обратить.
По данным Cleafy, вредоносная программа SuperCard X на данный момент не детектируется традиционными антивирусами и эвристические сканеры также не видят ее, поскольку программа не запрашивает избыточных разрешений и не осуществляет явно вредоносных действий.
Эмулятор карт, которым пользуются злоумышленники, также выглядит для платежных терминалов совершенно легитимным, что указывает на высокий уровень подготовки авторов вредоноса.
Эксперты Cleafy также обратили внимание на использование взаимного TLS (mTLS) для процедур аутентификации клиента и сервера, что обеспечивает страховку от перехвата и анализа соединений.
В Google заявили, что вредоносные программы, содержащие SuperCard X в Google Play не выявлены, а это означает, что они могут быть получены только из неофициальных источников.
SuperCard X и NFCGate
Стоит отметить, что код SuperCard X сходен с опенсорсным проектом NFCGate; изначально это был ученический проект, написанный студентами Дармштадтского технического университета (Германия). Однако позднее появилась его вредоносная разновидность NGate, которой злоумышленники начали пользоваться для проведения атак на клиентов банков - сначала в Чехии, затем в России.
По данным экспертов компании F6 (экс-F.A.C.C.T.), эти атаки нанесли клиентам ущерба на общую сумму 40 млн руб. Учитывая, что было отмечено около 400 таких атак, получается, что злоумышленники в среднем выводили по 100 тысяч руб.
Вредоносные приложения, которые обманом навязывали пользователям, мимикрировали под официальные инструменты, якобы предоставляющиеся от портала Госуслуги, от Центрального банка России или от Федеральной налоговой службы.
Разработчики SuperCard X, по-видимому, «вдохновлялись» этой разработкой, но не клонировали ее.
По мнению экспертов Cleafy, за SuperCard X стоит китаеязычный кластер угроз.
Поделиться
Короткая ссылка
