Всем привет!
С вами на связи команда экспертов департамента противодействия финансовому мошенничеству F.A.C.C.T. Fraud Protection. Сегодня мы расскажем о новой угрозе для клиентов российских банков с использованием легального приложения NFCGate, наших прогнозах о дальнейшем росте подобных кибератак, а также о том, как защититься от мошеннической схемы.
Что произошло?
В декабре 2024 и январе 2025 года в ходе исследования новой схемы, в которой использовано легальное мобильное приложение NFCGate, зафиксировано не менее 400 атак на клиентов ведущих российских банков, средняя сумма списания составила около 100 тыс. рублей.
Технология NFC (беспроводной передачи данных на короткие расстояния) позволяет использовать смартфон как банковскую карту. Данные карты записываются в памяти устройства, а модуль NFC передаёт их для оплаты – достаточно приложить смартфон к терминалу. Эта технология облегчила жизнь пользователям банковских карт и одновременно создала для них риски, которые сейчас всё активнее используют киберпреступники.
Для справки: мобильное приложение NFCGate в 2015 году разработали в качестве учебного проекта студенты Дармштадтского технического университета (Германия). Программа, предназначенная для захвата, мониторинга и анализа NFC-трафика путём его перехвата и воспроизведения, свободно распространялась в интернете. Первое применение NFCGate в криминальных целях зафиксировали в ноябре 2023 года, а в августе 2024 года произошла первая атака на пользователей российских банков.
Теперь киберпреступники используют возможность NFCGate обмениваться данными между двумя смартфонами, на которых установлено приложение.
Как происходит атака?
Ее можно разделить на 2 этапа. Сначала все выглядит как рядовое телефонное мошенничество. Жертву под предлогом «защиты» банковской карты, взлома личного кабинета «Госуслуг», продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, требований безопасности, подтверждения личности убеждают в необходимости установки специального мобильного приложения. Внешне оно похоже на легитимное приложение банка или госструктуры, но на самом деле это – вредоносная программа на основе NFCGate.
Мы бнаружили свыше 100 уникальных образцов такого вредоносного ПО для Android. Злоумышленники маскировали их в том числе под приложения популярных госсервисов, Центрального банка России, Федеральной налоговой службы. Фейковые приложения называли так, чтобы вызвать доверие пользователя, например: «Защита карт ЦБ РФ», «ЦБРезерв+», «Госуслуги Верификация», «Сертификат Безопасности».
Пример того, как выглядит фейковое приложение:
Злоумышленники могут установить NFCGate на устройство жертвы даже без её ведома, используя трояны удалённого доступа, например, CraxRAT, активность которого в России и Беларуси также зарегистрирована летом прошлого года. Такие вредоносные программы распространяют, как правило, через мессенджеры в виде APK-файлов под видом обновлений легитимных приложений, а также фейковых приложений госсервисов, операторов связи и антивирусов.
После того, как приложение на основе NFCGate установлено на смартфоне жертвы, на устройство злоумышленника поступает сигнал о готовности к обмену данными.
Вредоносная программа предлагает жертве пройти верификацию и для этого приложить банковскую карту к обратной стороне смартфона. Когда пользователь приложит карту к NFC-модулю, эти данные моментально передаются на смартфон злоумышленника. В некоторых случаях приложение предлагает ввести ПИН-код карты, и эта информация также отправляется преступнику.
Фото проведения NFC-транзакции, реализуемой злоумышленником с помощью NFCGate:
Если злоумышленник находится возле банкомата, а его смартфон приложен к NFC-датчику банкомата, достаточно ввести полученный от жертвы ПИН-код, чтобы за минуту похитить с карты все деньги. Но кража может произойти не сразу: функционал NFCGate позволяет преступнику записать данные банковской карты жертвы и воспроизвести их позже, например, для токенизации карты и покупки в магазине. Если жертва не заблокирует карту после первого инцидента, злоумышленники могут списывать деньги неоднократно.
Что удалось узнать в ходе исследования?
Мы разобрали по винтикам преступные способности NFCGate и его модификаций, а также раскрыли некоторые планы злоумышленников. Благодаря этому удалось обнаружить серверное ПО, которое позволяет осуществлять сборку уникальных вредоносных приложений на основе NFCGate под конкретные атаки.
Схема атаки с учетом инфраструктуры злоумышленника:
Кроме того, мы узнали, что преступники намереваются в ближайшее время добавить вредоносному приложению новые функции, которые позволят перехватывать СМС и push-уведомления, поступающие на устройство жертвы. Другие полученные данные позволяют сделать вывод, что злоумышленники собираются распространять вредоносное ПО на основе NFCGate по модели Malware-as-a-Service (продавать или сдавать в аренду).
Более подробно с результатами исследования вы можете ознакомиться в нашем блоге.
Как защититься от схемы с NFCGate?
Для того, чтобы не попасться на удочку злоумышленников и не стать жертвой подобной киберугрозы, мы рекомендуем:
- Не устанавливать приложения по ссылкам из мессенджеров, смс или почтовых рассылок. Устанавливайте их только из официальных магазинов приложений, таких как RuStore и GooglePlay
- Не сообщать посторонним CVV и PIN-коды банковских карт, а также не вводить эти данные на незнакомых или подозрительных сайтах или приложениях.
- Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
- Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка или с использованием банковского приложения.
Также мы подготовили рекомендации для подразделений информационной безопасности банков:
- При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту.
- Учитывать данные геолокации пользователей.
- Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
- Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.
- Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа. Например, для оценки риска транзакции и проверки получателя (KYC, know your customer) модули решения F.A.C.C.T. Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.
Хотите получать самые актуальные новости о событиях в сфере информационной безопасности? Тогда подписывайтесь на канал «Кибербез по фактам», а также на наш остросюжетный телеграм-канал.