Киберугрозы: рост атак на банковские приложения через трояны

Киберугрозы: рост атак на банковские приложения через трояны

Источник: www.f6.ru

Недавний анализ, проведенный компанией F6, разработчиком технологий для борьбы с киберпреступностью, выявил значительный рост числа атак на клиентов российских банков с использованием двух троянских приложений для Android: CraxSSrat и NFCGATE. Эти вредоносные программы позволяют злоумышленникам удаленно перехватывать и передавать информацию о банковских картах, используя технологии NFC (Near Field Communication), и все это без непосредственного взаимодействия с пользователем. Такой подход знаменует собой серьезную эволюцию тактики киберпреступников.

Масштаб проблемы

Согласно сообщениям, к марту 2025 года более 180 000 устройств в России были скомпрометированы этими вредоносными приложениями. Результаты исследования F6 свидетельствуют о резком увеличении числа скомпрометированных пользователей, использующих одновременно CraxSSrat и вредоносную версию NFCGATE.

Особенности вредоносных программ

CraxSSrat представляет собой многофункциональный троян для Android, основанный на вредоносной программе Spynote. Он проникает на устройства под видом законных приложений или обновлений, после чего предоставляет злоумышленникам возможности удаленного управления:

  • Злоумышленники могут выполнять действия без согласия пользователя.
  • Уровень заражения CraxSSrat резко возрос, увеличившись в 2,5 раза по сравнению с показателями декабря 2024 года.
  • К февралю 2025 года количество скомпрометированных устройств превысило 22 000.

NFCGATE был первоначально выпущен немецкими студентами как легальное приложение в 2015 году, однако злоумышленники манипулировали его функциями для извлечения конфиденциальной информации:

  • Приложение предлагает пользователям привязать свои банковские карты и ввести PIN-коды.
  • Сразу после ввода, данные отправляются злоумышленникам, что позволяет осуществлять несанкционированные снятия средств в банкоматах.
  • Финансовые потери от NFCGATE в первые два месяца 2025 года приблизились к 200 миллионам рублей.

Изменение тактики киберпреступников

Изначально злоумышленники использовали традиционные методы, такие как телефонные звонки и обмен мгновенными сообщениями для распространения NFCGATE, вводя жертв в заблуждение с целью улучшения банковских услуг или проверки личных данных. Однако с ростом зараженности CraxSSrat преступники изменили тактику и стали полагаться на него при доставке NFCGATE. Это стратегическое сочетание значительно расширяет их операционные возможности:

  • Обход громоздкого процесса убеждения пользователей.
  • Получение полного доступа к банковским приложениям непосредственно с устройств жертв.

CraxSSrat активно использует социальную инженерию через платформы обмена сообщениями, такие как WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) и Telegram, для распространения своих вредоносных APK-файлов.

Рекомендации для пользователей и финансовых учреждений

Чтобы смягчить эти угрозы, пользователям рекомендуется:

  • Избегать взаимодействия с неизвестными контактами.
  • Не переходить по сомнительным ссылкам.
  • Загружать приложения только из надежных источников.

Финансовым учреждениям настоятельно рекомендуется внедрить усовершенствованные процессы проверки и механизмы обнаружения аномалий в транзакциях, минимизируя риски, создаваемые этими изощренными хакерами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: