SecAtor

Исследователи F.A.C.C.T. предупреждают о новой угрозе для клиентов российских банков, связанной с использованием легального приложения NFCGate, которая привела к ущербу в размере более более 40 миллионов рублей.

Заряженный софт для перехвата и передачи данных банковских карт через NFC-модули софт злоумышленники замаскировали под приложения популярных госсервисов, ЦБ и ФНС России.

Ретрансляционные атаки NFC впервые были замечены в Чехии в конце 2023 года и распространились на российские банки в августе прошлого года.

Только за последние два месяца F.A.C.C.T. обнаружила более 400 атак через ретрансляторы NFC в России (средняя сумма списания составила около 100 тыс. рублей.), что говорит о том, что эта схема набирает популярность среди киберподполья.

При этом аналитики F.A.C.C.T. прогнозируют рост подобных кибератак на пользователей Android-устройств на 25-30% ежемесячно.

Атака на пользователей банковских карт проходит в два этапа, первый из которых выглядит как рядовое телефонное мошенничество.

Жертву под предлогом необходимости защиты банковской карты, Госуслуг, продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, подтверждения личности убеждают в необходимости установки специального Android-приложения на устройство.

Внешне оно мимикрирует под легитимное приложение банка или госструктуры, фактически - это вредоносная ПО на основе NFCGate.

Исследователи F.A.C.C.T. в общей сложности обнаружили свыше 100 уникальных образцов такого вредоносного ПО для Android.

Кроме того, злоумышленники могут установить NFCGate на устройство жертвы без её ведома, используя трояны удалённого доступа, например, CraxRAT, активность которого в России и Беларуси также детектировалась летом прошлого года. 

После того, как приложение на основе NFCGate установлено на смартфоне жертвы, на устройство злоумышленника поступает сигнал о готовности к обмену данными.

Затем злоумышленники используют вредоносное приложение для того, чтобы заставить пользователей просканировать карты и ввести PIN-коды, а тем временем данные отправляются на удаленный смартфон, сопряженный с NFCGate.

Полученные от жертвы данные используются для снятия средств в банкоматах в режиме реального времени, токенизиации потока NFC для осуществления последующих онлайн-транзакций.

По результатам исследования новой угрозы и ее  серверной инфраструктуры исследователям F.A.C.C.T. удалось вскрыть стратегические планы разработчиков и задетектить серверное ПО для сборки уникальных вредоносных приложений на основе NFCGate под конкретные атаки.

Аналитики выяснили, что преступники намереваются в ближайшее время добавить вредоносному приложению новый функционал для перехвата sms и push-уведомлений с устройств жертв, а также распространять вредоносное ПО на основе NFCGate по модели Malware-as-a-Service.

В целом, исследование подтверждает выводы ESET, которая еще в 2024 году предупреждала, что новая технология будет быстро распространяться по мере освоения киберподпольем новой технологии.

Рекомендации, технические подробности и IOC - в отчете.

GitHub

GitHub - nfcgate/nfcgate: An NFC research toolkit application for Android

An NFC research toolkit application for Android. Contribute to nfcgate/nfcgate development by creating an account on GitHub.

www.group-telegram.com/us/true_secator.com/6654

8.8K viewsJan 24 at 13:00

Исследователи F.A.C.C.T. предупреждают о новой угрозе для клиентов российских банков, связанной с использованием легального приложения NFCGate, которая привела к ущербу в размере более более 40 миллионов рублей.

Заряженный софт для перехвата и передачи данных банковских карт через NFC-модули софт злоумышленники замаскировали под приложения популярных госсервисов, ЦБ и ФНС России.

Ретрансляционные атаки NFC впервые были замечены в Чехии в конце 2023 года и распространились на российские банки в августе прошлого года.

Только за последние два месяца F.A.C.C.T. обнаружила более 400 атак через ретрансляторы NFC в России (средняя сумма списания составила около 100 тыс. рублей.), что говорит о том, что эта схема набирает популярность среди киберподполья.

При этом аналитики F.A.C.C.T. прогнозируют рост подобных кибератак на пользователей Android-устройств на 25-30% ежемесячно.

Атака на пользователей банковских карт проходит в два этапа, первый из которых выглядит как рядовое телефонное мошенничество.

Жертву под предлогом необходимости защиты банковской карты, Госуслуг, продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, подтверждения личности убеждают в необходимости установки специального Android-приложения на устройство.

Внешне оно мимикрирует под легитимное приложение банка или госструктуры, фактически - это вредоносная ПО на основе NFCGate.

Исследователи F.A.C.C.T. в общей сложности обнаружили свыше 100 уникальных образцов такого вредоносного ПО для Android.

Кроме того, злоумышленники могут установить NFCGate на устройство жертвы без её ведома, используя трояны удалённого доступа, например, CraxRAT, активность которого в России и Беларуси также детектировалась летом прошлого года. 

После того, как приложение на основе NFCGate установлено на смартфоне жертвы, на устройство злоумышленника поступает сигнал о готовности к обмену данными.

Затем злоумышленники используют вредоносное приложение для того, чтобы заставить пользователей просканировать карты и ввести PIN-коды, а тем временем данные отправляются на удаленный смартфон, сопряженный с NFCGate.

Полученные от жертвы данные используются для снятия средств в банкоматах в режиме реального времени, токенизиации потока NFC для осуществления последующих онлайн-транзакций.

По результатам исследования новой угрозы и ее  серверной инфраструктуры исследователям F.A.C.C.T. удалось вскрыть стратегические планы разработчиков и задетектить серверное ПО для сборки уникальных вредоносных приложений на основе NFCGate под конкретные атаки.

Аналитики выяснили, что преступники намереваются в ближайшее время добавить вредоносному приложению новый функционал для перехвата sms и push-уведомлений с устройств жертв, а также распространять вредоносное ПО на основе NFCGate по модели Malware-as-a-Service.

В целом, исследование подтверждает выводы ESET, которая еще в 2024 году предупреждала, что новая технология будет быстро распространяться по мере освоения киберподпольем новой технологии.

Рекомендации, технические подробности и IOC - в отчете.

BY SecAtor