NFCGATE: Угрозы и потери для банковских клиентов России

Источник: www.f6.ru
NFCGATE стал заметной угрозой для клиентов российских банков, впервые выявленной в августе 2024 года. Эта вредоносная программа привела к значительным финансовым потерям, оцениваемым в 432 миллиона рублей, в первом квартале 2025 года. Эволюция NFCGATE происходила стремительно, и к январю 2025 года насчитывалось более 100 различных вариантов Android-программ этой угрозы.
Технологии и тактики мошенников
Злоумышленники применяли передовые технологии, позволяющие им перехватывать SMS-сообщения и push-уведомления. К февралю 2025 года NFCGATE использовался совместно с Craxsrat для удаленного сбора данных NFC с банковских карт. Важной модификацией этой программы стала обратная версия, которая кардинально меняет подход к кражам данных, упрощая процесс их передачи с устройства пользователя на устройство злоумышленника.
Социальная инженерия и механизмы атаки
Новый метод основан на тактике социальной инженерии, при которой жертвы заманиваются в банкоматы под ложным предлогом, что облегчает кражу данных. Скомпрометированные устройства часто вводятся в заблуждение и на них устанавливается вредоносное ПО, замаскированное под законные приложения, которые обещают повышенную безопасность или лучшие условия обслуживания.
После установки вредоносное ПО запрашивает доступ к NFC и интернету, устанавливая скрытое соединение с удаленным сервером злоумышленника. По состоянию на март 2025 года число скомпрометированных устройств в России выросло до 175 000, в то время как сообщалось о 1000 успешных атаках с использованием обратной версии NFCGATE.
Методология атаки
- Первый этап: преступники используют стратегии, типичные для мошеннических колл-центров, убеждая жертвы установить вредоносное ПО под видом законных приложений.
- Второй этап: после установки программа проверяет наличие необходимых условий и предлагает установить вредоносное ПО по умолчанию для транзакций NFC, заменяя законные платежные приложения.
Важно отметить, что для установки обратной версии NFCGATE требуются минимальные разрешения, в отличие от ее предшественницы, для которой требовался root-доступ. Это изменение значительно снижает барьер для установки и затрудняет обнаружение вредоносной активности.
Исходные данные и последствия
Комбинированная тактика, используемая NFCGATE и ее вариантами, представляет собой растущий риск в контексте киберугроз. Исследования показали, что программа использует сложные методы сокрытия своей функциональности, включая перенос критических параметров подключения в собственные библиотеки, что затрудняет идентификацию угрозы.
Учитывая все вышесказанное, необходимо повышать осведомленность пользователей и обеспечивать надежную защиту от постоянных изменений стратегий киберпреступников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



