Рост угроз: злоупотребление NFCGate в кибератаках

Источник: www.facct.ru
В последние годы мобильные приложения стали не только удобным инструментом для пользователей, но и объектом интереса для киберпреступников. Одним из таких приложений является NFCGate, изначально разработанное в 2015 году студентами Дармштадтского технического университета в Германии как образовательный проект. При этом приложение перешло от учебного инструмента к зловещему средству для нарушителей закона, начиная с ноября 2023 года.
Что такое NFCGate?
NFCGate предназначено для сбора, мониторинга и анализа NFC-трафика. Оно может работать в следующих режимах:
- Режим ретрансляции: передача NFC-трафика между двумя устройствами, где одно устройство является считывателем, а другое – меткой. Это позволяет облегчить обмен данными.
- Режим воспроизведения: воспроизведение сигналов NFC из определённых сеансов.
С помощью NFCGate пользователи могут записывать и сохранять трафик на вкладке «Журналы». Однако с увеличением своих функциональных возможностей, приложение оказалось использованным для кибератак.
Злоупотребление NFCGate киберпреступниками
С ноября 2023 года киберпреступники начали использовать NFCGate для совершения атак на банковские счета пользователей Android. Преступники применяли режимы ретрансляции и воспроизведения для:
- Перехвата данных NFC между банковскими картами и терминалами жертв;
- Атак типа «Человек посередине».
Они заставляли жертв устанавливать поддельные версии NFCGate, замаскированные под законные банковские или правительственные приложения. Для этого использовались также трояны удаленного доступа (RAT), такие как CraxRAT.
Масштабирование мошеннических действий
В августе 2024 года в России были зарегистрированы первые успешные атаки с использованием NFCGate, что привело к значительным финансовым потерям ведущих российских банков. Злоумышленники внесли следующие изменения в приложение:
- Изменение пользовательского интерфейса;
- Скрытие push-уведомлений;
- Изменение форматов данных;
- Запрос PIN-кодов банковских счетов при запуске приложения.
Для управления уведомлениями и сбора конфиденциальной информации использовались различные пакеты разрешений.
Технические детали атак и риски
Злоумышленники также внедряли системы управления контентом с открытым исходным кодом (CMS), такие как Strapi, для управления вредоносными действиями и получения данных с заражённых устройств. Кроме того, они разрабатывали APK-файлы, имитирующие законные приложения.
Была проанализирована серверная инфраструктура преступников, включая сервисы для управления украденными данными и перехвата SMS- и push-уведомлений.
Среди прочих угроз, возникающих из-за атак на NFCGate, следует отметить возможность перехвата сообщений и привязки токенизированных карт для несанкционированных транзакций. Особое внимание привлекает приложение, замаскированное под Центральный банк Российской Федерации, с соответствующими хэшами для идентификации.
Заключение
Мошеннические действия, основанные на NFCGate, подчеркивают растущие угрозы, исходящие от законных приложений, используемых киберпреступниками для получения финансовой выгоды и кражи данных. Важно повышать осведомленность пользователей о потенциальных рисках и находить способы защиты их данных в цифровом мире.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



