NFCGATE: Угрозы и потери для банковских клиентов России

NFCGATE: Угрозы и потери для банковских клиентов России

Источник: www.f6.ru

NFCGATE стал заметной угрозой для клиентов российских банков, впервые выявленной в августе 2024 года. Эта вредоносная программа привела к значительным финансовым потерям, оцениваемым в 432 миллиона рублей, в первом квартале 2025 года. Эволюция NFCGATE происходила стремительно, и к январю 2025 года насчитывалось более 100 различных вариантов Android-программ этой угрозы.

Технологии и тактики мошенников

Злоумышленники применяли передовые технологии, позволяющие им перехватывать SMS-сообщения и push-уведомления. К февралю 2025 года NFCGATE использовался совместно с Craxsrat для удаленного сбора данных NFC с банковских карт. Важной модификацией этой программы стала обратная версия, которая кардинально меняет подход к кражам данных, упрощая процесс их передачи с устройства пользователя на устройство злоумышленника.

Социальная инженерия и механизмы атаки

Новый метод основан на тактике социальной инженерии, при которой жертвы заманиваются в банкоматы под ложным предлогом, что облегчает кражу данных. Скомпрометированные устройства часто вводятся в заблуждение и на них устанавливается вредоносное ПО, замаскированное под законные приложения, которые обещают повышенную безопасность или лучшие условия обслуживания.

После установки вредоносное ПО запрашивает доступ к NFC и интернету, устанавливая скрытое соединение с удаленным сервером злоумышленника. По состоянию на март 2025 года число скомпрометированных устройств в России выросло до 175 000, в то время как сообщалось о 1000 успешных атаках с использованием обратной версии NFCGATE.

Методология атаки

  • Первый этап: преступники используют стратегии, типичные для мошеннических колл-центров, убеждая жертвы установить вредоносное ПО под видом законных приложений.
  • Второй этап: после установки программа проверяет наличие необходимых условий и предлагает установить вредоносное ПО по умолчанию для транзакций NFC, заменяя законные платежные приложения.

Важно отметить, что для установки обратной версии NFCGATE требуются минимальные разрешения, в отличие от ее предшественницы, для которой требовался root-доступ. Это изменение значительно снижает барьер для установки и затрудняет обнаружение вредоносной активности.

Исходные данные и последствия

Комбинированная тактика, используемая NFCGATE и ее вариантами, представляет собой растущий риск в контексте киберугроз. Исследования показали, что программа использует сложные методы сокрытия своей функциональности, включая перенос критических параметров подключения в собственные библиотеки, что затрудняет идентификацию угрозы.

Учитывая все вышесказанное, необходимо повышать осведомленность пользователей и обеспечивать надежную защиту от постоянных изменений стратегий киберпреступников.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: