У вас в руках телефон, в кармане — банковская карта, а деньги исчезают будто сами собой. Исследователи из Group-IB зафиксировали новую схему цифрового мошенничества под названием Ghost Tap, которая превращает Android-смартфон в невольного участника кражи средств с бесконтактных карт. Это не лабораторный эксперимент, а зрелая киберпреступная экосистема, которая стремительно распространяется на подпольных площадках.
Суть схемы — использование смартфона жертвы как ретранслятора сигнала NFC. Мошенникам даже не нужно физически прикасаться к карте. Достаточно, чтобы пользователь один раз приложил её к телефону, полагая, что проходит стандартную проверку данных. В этот момент запускается Reader — вредоносное приложение, установленное под видом службы поддержки банка, системы верификации или обновления учётной записи. Второй компонент схемы, Tapper, работает уже на устройстве преступника, эмулирует поведение карты и передаёт данные на платёжный терминал.
В результате транзакция проходит в реальном времени, как если бы карта действительно находилась рядом с терминалом. Преступники получают полный контроль над «дублем» карты и могут использовать его в любое время.
Эксперты отмечают, что Ghost Tap — это не единичная утечка, а коммерческий продукт, который распространяется по модели подписки. В отчёте перечислены десятки брендов, среди которых TX-NFC, X-NFC, NFU Pay и другие. Стоимость доступа варьируется от $45 в сутки до $1000 за квартал, причём клиенты получают круглосуточную техподдержку и постоянные обновления APK-файлов.
Исследователи насчитали не менее 54 уникальных вредоносных сборок, каждая из которых адаптирована под определённые модели смартфонов или особенности региональных платёжных систем. Примечательно, что авторы вредоносных инструментов работают посменно и предлагают помощь в настройке, что делает сервис максимально дружелюбным для пользователей из криминального сегмента.
Заражение смартфонов чаще всего происходит через фишинговые рассылки и подставные звонки. Пользователю предлагают якобы пройти верификацию, подтвердить карту или обновить банковские реквизиты. Как только он запускает приложение и прикладывает карту — данные отправляются в обход любых уведомлений.
Сложность борьбы с Ghost Tap в том, что кража не сопровождается привычными признаками компрометации. Карта остаётся на руках у владельца, телефон работает в штатном режиме, а оплата уходит на терминал, который находится за тысячи километров. Именно такие POS-устройства, как отмечает Group-IB, массово закупаются в теневом сегменте Telegram. В отчёте упоминается группа Oedipus, которая продавала терминалы банков из регионов Ближнего Востока, Северной Африки и Азии. Только один из таких поставщиков провёл через свои каналы не менее $355 тыс. нелегальных транзакций за 9 месяцев.
Оригинал публикации на сайте CISOCLUB: "Вирус Ghost Tap превращает Android-смартфоны в посредников для кражи денег с карт без ведома владельца".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.