Компания F.A.C.C.T. предупреждает о новой угрозе для клиентов российских банков, связанной с использованием приложения NFCGate, которое, будучи легальным инструментом, используется для кражи данных банковских карт. За последние два месяца злоумышленники с его помощью похитили 40 млн рублей, осуществив не менее 400 атак. Средний ущерб на одного клиента составил около 100 тысяч рублей. Аналитики компании отмечают, что число таких атак растёт, и ожидается увеличение их частоты на 25-30% ежемесячно.
NFCGate было создано в 2015 году студентами Дармштадтского технического университета как учебный проект для анализа NFC-трафика. Оно позволяет перехватывать и воспроизводить данные, передаваемые через модуль бесконтактной связи. Изначально приложение использовалось в исследовательских целях, однако в последние годы киберпреступники адаптировали его для мошеннических схем. Особенность NFCGate заключается в возможности обмениваться данными между двумя смартфонами, на которых оно установлено. Это открывает широкий спектр для использования его в преступных целях.
Схема атаки строится на социальной инженерии. Жертве звонят, представляясь сотрудниками банка или госслужб, и убеждают установить вредоносное приложение, замаскированное под легитимные программы, такие как «Госуслуги Верификация» или «ЦБРезерв+». После установки такого приложения на смартфон жертвы злоумышленники могут удалённо активировать NFCGate. Далее жертву просят приложить свою банковскую карту к задней стороне телефона для подтверждения личности. В этот момент данные карты, включая её номер, срок действия и т.п., мгновенно передаются на устройство преступников.
Главный принцип атаки заключается в том, что данные, считанные через NFCGate, могут быть переданы на устройство злоумышленника, стоящего у банкомата с NFC. Это создаёт эффект, как будто жертва только что приложила свою карту к этому банкомату, но сделала это удалённо. Преступники могут сразу использовать переданные данные, подключив свой смартфон к NFC-модулю банкомата. Если требуется ввод ПИН-кода, его также заранее запрашивают у жертвы под предлогом верификации. В некоторых случаях данные сохраняются для последующего использования, например, для токенизации карты и совершения покупок в онлайн-магазинах.
Исследования F.A.C.C.T. выявили, что преступники разрабатывают новые модификации NFCGate, способные перехватывать SMS и push-уведомления. Также установлено, что злоумышленники распространяют вредоносное ПО по модели Malware-as-a-Service, предоставляя его в аренду другим преступным группировкам. Аналитики компании подчеркнули, что серверная инфраструктура, используемая для хранения украденных данных, является высокоорганизованной, что подтверждает серьёзность угрозы.
Эксперты рекомендуют пользователям быть бдительными и устанавливать приложения только из официальных магазинов. Также важно блокировать карту при первых признаках компрометации и не сообщать третьим лицам ПИН-коды или другие конфиденциальные данные.