Written by Komolov Rostislav | 23/01/25
Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, предупреждает о новой угрозе для клиентов российских банков с использованием легального приложения NFCGate. Софт, способный через NFC-модули перехватывать и передавать данные банковских карт, злоумышленники маскируют под приложения популярных госсервисов, Центрального банка России, Федеральной налоговой службы. За последние два месяца зафиксировано не менее 400 атак на клиентов ведущих российских банков, общая сумма ущерба оценивается в 40 млн рублей. Аналитики F.A.C.C.T. прогнозируют рост подобных кибератак на пользователей Android-устройств на 25-30% ежемесячно.
Кибероружие от студентов
Эксперты департамента противодействия финансовому мошенничеству F.A.C.C.T. Fraud Protection исследовали новую мошенническую схему, в которой использовано легальное мобильное приложение NFCGate. В декабре 2024 и январе 2025 года, по оценкам F.A.C.C.T., зафиксировано не менее 400 атак на клиентов ведущих российских банков, средняя сумма списания составила около 100 тыс. рублей.
Технология NFC (беспроводной передачи данных на короткие расстояния) позволяет использовать смартфон как банковскую карту. Данные карты записываются в памяти устройства, а модуль NFC передаёт их для оплаты – достаточно приложить смартфон к терминалу. Эта технология облегчила жизнь пользователям банковских карт и одновременно создала для них риски, которые сейчас всё активнее используют киберпреступники.
Мобильное приложение NFCGate в 2015 году разработали в качестве учебного проекта студенты Дармштадтского технического университета (Германия). Программа, предназначенная для захвата, мониторинга и анализа NFC-трафика путём его перехвата и воспроизведения, свободно распространялась в интернете. Первое применение NFCGate в криминальных целях зафиксировали в ноябре 2023 года, а в августе 2024 года произошла первая атака на пользователей российских банков.
Киберпреступники используют возможность NFCGate обмениваться данными между двумя смартфонами, на которых установлено приложение.
Ставка на Центробанк
Атака на пользователей банковских карт проходит в два этапа. Вначале все выглядит, как рядовое телефонное мошенничество. Жертву под предлогом «защиты» банковской карты, взлома личного кабинета «Госуслуг», продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, требований безопасности, подтверждения личности убеждают в необходимости установки специального мобильного приложения. Внешне оно похоже на легитимное приложение банка или госструктуры, но на самом деле это – вредоносная программа на основе NFCGate.
Специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) и департамента киберразведки (Threat Intelligence) компании F.A.C.C.T. обнаружили свыше 100 уникальных образцов такого вредоносного ПО для Android. Злоумышленники маскировали их в том числе под приложения популярных госсервисов, Центрального банка России, Федеральной налоговой службы. Фейковые приложения называли так, чтобы вызвать доверие пользователя, например: «Защита карт ЦБ РФ», «ЦБРезерв+», «Госуслуги Верификация», «Сертификат Безопасности».
Злоумышленники могут установить NFCGate на устройство жертвы даже без её ведома, используя трояны удалённого доступа, например, CraxRAT, активность которого в России и Беларуси также зарегистрирована летом прошлого года. Такие вредоносные программы распространяют, как правило, через мессенджеры в виде APK-файлов под видом обновлений легитимных приложений, а также фейковых приложений госсервисов, операторов связи и антивирусов.
Чем опасен NFCGate
После того, как приложение на основе NFCGate установлено на смартфоне жертвы, на устройство злоумышленника поступает сигнал о готовности к обмену данными.
Вредоносная программа предлагает жертве пройти верификацию и для этого приложить банковскую карту к обратной стороне смартфона. Когда пользователь приложит карту к NFC-модулю, эти данные моментально передаются на смартфон злоумышленника. В некоторых случаях приложение предлагает ввести ПИН-код карты, и эта информация также отправляется преступнику.
Если злоумышленник находится возле банкомата, а его смартфон приложен к NFC-датчику банкомата, достаточно ввести полученный от жертвы ПИН-код, чтобы за минуту похитить с карты все деньги. Но кража может произойти не сразу: функционал NFCGate позволяет преступнику записать данные банковской карты жертвы и воспроизвести их позже, например, для токенизации карты и покупки в магазине. Если жертва не заблокирует карту после первого инцидента, злоумышленники могут списывать деньги неоднократно.
Разведка выяснила
Специалисты F.A.C.C.T. в ходе исследования новой угрозы разобрали по винтикам преступные способности NFCGate и его модификаций, а также раскрыли некоторые планы злоумышленников. Эксперты компании исследовали серверную инфраструктуру, позволяющую осуществлять прием и хранение украденных данных. Кроме того, удалось обнаружить серверное ПО, которое позволяет осуществлять сборку уникальных вредоносных приложений на основе NFCGate под конкретные атаки.
Аналитики компании также выяснили, что преступники намереваются в ближайшее время добавить вредоносному приложению новые функции, которые позволят перехватывать СМС и push-уведомления, поступающие на устройство жертвы. Другие полученные данные позволяют сделать вывод, что злоумышленники собираются распространять вредоносное ПО на основе NFCGate по модели Malware-as-a-Service (продавать или сдавать в аренду).
Результаты исследования новой угрозы и рекомендации по защите для банков и клиентов финансовых организаций представлены в новом блоге на сайте компании.
«С момента начала использования NFCGate в атаках на клиентов банки оказались застигнуты врасплох: схема включала в себя социнженерию - телефонное мошенничество, использование легитимного приложения, замаскированного под под государственные и банковские сервисы, снятие денег через банкоматы, — комментирует Александр Копосов, эксперт департамента противодействия финансовому мошенничеству F.A.C.C.T. Fraud Protection. — Судя по росту числа зафиксированных инцидентов, связанных с NFCGate, большой распространенности устройств, обладающих NFC-датчиком, сравнительной простоте атаки, а также по зафиксированным намерениям злоумышленников модернизировать используемые ими приложения ожидается дальнейший рост количества атак, совершаемых с использованием технологии NFC».
Как защититься от схемы с NFCGate
Как пользователям банковских карт защититься от новой угрозы? Специалисты F.A.C.C.T. поделились рекомендациями.
- Не устанавливайте приложения по ссылкам из мессенджеров, смс или почтовых рассылок. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay
- Не сообщайте посторонним CVV и PIN-коды банковских карт. Не вводите эти данные на незнакомых или подозрительных сайтах или приложениях.
- Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
- Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка или с использованием банковского приложения.
Также специалисты F.A.C.C.T. подготовили рекомендации для подразделений информационной безопасности банков.
- При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту.
- Учитывать данные геолокации пользователей.
- Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
- Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.
- Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа. Например, для оценки риска транзакции и проверки получателя (KYC, know your customer) модули решения F.A.C.C.T. Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.