Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, обнаружила новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков. Главное отличие: вместо перехвата NFC-данных карты пользователя злоумышленники создают на его устройстве клон собственной карты. Когда в результате атаки мошенников жертва через банкомат попытается зачислить деньги на свой счёт, вся сумма отправится на карту дропа. Общий ущерб клиентов российских банков от использования всех вредоносных версий NFCGate за первый квартал 2025 года составил 432 млн рублей.
Хищник 2.0
Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 отмечают стремительное развитие вредоносного софта, способного через NFC-модули дистанционно перехватывать и передавать данные банковских карт. Первая атака с применением NFCGate в России произошла в августе 2024 года, а уже по итогам первого квартала 2025 года общий ущерб от использования всех вредоносных версий этого софта составил 432 млн рублей. Каждый день с января по март преступники совершали в среднем по 40 успешных атак. Средняя сумма ущерба от действий злоумышленников, использующих NFCGate, составила 120 тыс. рублей.
NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 году. На его основе злоумышленники создали вредоносное ПО. При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести ПИН-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счёта пользователя в банкомате. Впервые исследователи F6 описали использование NFCGate в криминальных целях в январе 2025 года.
В феврале 2025 года компания F6 зафиксировала появление принципиально новой сборки NFCGate, которая используется в так называемой «обратной» схеме. Разработчики вредоносного ПО адаптировали приложение под готовый сервис для мошеннических колл-центров. При использовании первых версий NFCGate сообщники преступников, дропы, приходили к банкомату, чтобы снять деньги жертвы. Обратная версия NFCGate позволяет пропустить этот шаг: мошенники под разными предлогами направляют жертву к банкомату, чтобы зачислить деньги якобы самому себе, но на самом деле – преступникам.
Счёт в пользу мошенников
Атака на пользователей банковских карт с использованием обратного NFCGate проводится в два этапа. Вначале преступники действуют по стандартному для схемы с NFCGate сценарию. Используя приёмы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы. Злоумышленники объясняют, что это требуется, например, для «защиты» банковского счёта или получения более выгодных условий обслуживания в виде вклада с повышенной процентной ставкой. Кроме того, в марте 2025 года мошенники стали предлагать потенциальным жертвам внести сбережения на счёт цифрового рубля.
Если пользователь поверит злоумышленникам, перейдёт по ссылке, установит вредоносный софт и запустит его, приложение предложит сделать его основным для бесконтактных платежей. Изученные аналитиками компании F6 образцы ВПО маскировались под приложения финансового регулятора.
После установки приложения в качестве платёжной системы по умолчанию смартфон пользователя незаметно для владельца устанавливает контакт с устройством злоумышленников. Затем на смартфон жертвы отправляются NFC-данные банковской карты мошенников и происходит её эмуляция.
На втором этапе атаки пользователя убеждают отправиться к банкомату: якобы для того, чтобы зачислить сбережения на свой счёт. Это похоже на распространённый сценарий мошенничества с «безопасным счётом». Разница в том, что пользователя не просят назвать код из СМС и не пытаются выведать другую чувствительную информацию, чтобы не вызвать подозрений в обмане. Напротив, пользователю сообщают «новый» ПИН-код якобы от его же карты.
Когда жертва приложит своё устройство к NFC-датчику банкомата, произойдёт авторизация карты дропа. Банкомат потребует ввести ПИН-код, который уже продиктовали мошенники. Пользователь считает, что проводит зачисление денег на свой счёт, однако эта сумма отправляется мошенникам.
- ВКонтакте
- Telegram