Zimperium: в Восточной Европе активны более 760 вредоносных NFC-приложений для Android - «Новости»
- 14:30, 04-ноя-2025
- Новости / Отступы и поля / Преимущества стилей / Заработок / Ссылки / Сайтостроение / Изображения / Вёрстка / Добавления стилей
- Лукерья
- 0
Специалисты компании Zimperium предупреждают о росте количества NFC-малвари для Android в Восточной Европе. За последние месяцы исследователи обнаружили более 760 таких приложений, использующих NFC-атаки для кражи платежных данных пользователей.
Исследователи объясняют, что в отличие от традиционных банковских троянов, которые воруют логины и пароли через фишинговые оверлеи или получают удаленный доступ к устройству, NFC-малварь действует изощреннее. Она эксплуатирует встроенную в Android функцию Host Card Emulation (HCE), позволяющую эмулировать бесконтактные платежные карты.
Такие вредоносы действуют по-разному. Одни перехватывают EMV-поля и сливают данные в Telegram или на контролируемые атакующими серверы. Другие пересылают APDU-команды от POS-терминалов на удаленные серверы, которые формируют правильные ответы для авторизации платежей — все это происходит без физической карты и ведома владельца.
Также существуют более продвинутые варианты, использующие техники вроде Ghost Tap, где манипуляция HCE-ответами происходит в режиме реального времени, чтобы провести оплату на кассе.
Некоторые образцы такой малвари маскируются под PWA (Progressive web app) или фейковые банковские приложения и регистрируются в системе как дефолтный обработчик платежей на Android.
Напомним, что мы уже не раз рассказывали (1, 2, 3, 4, 5) о таких атаках, которые впервые попали в поле зрения ИБ-экспертов еще осенью 2023 года, когда стали появляться сообщения о взломах клиентов крупных чешских банков.
Изначально NFC-атаки строились вокруг злоупотребления упомянутым опенсорсным приложением NFCGate, которое в 2015 году создали студенты Дармштадтского технического университета. Оно предназначено для отладки протоколов передачи NFC-данных. Приложение поддерживает множество функций, но наибольший интерес для злоумышленников представляет захват NFC-трафика приложений и передача его на удаленное устройство, которым может выступать сервер или непосредственно смартфон атакующего.
Первые атаки с применением NFCGate в России были зафиксированы в августе 2024 года, и уже по итогам первого квартала 2025 года общий ущерб от использования вредоносных версий NFCGate составил 432 млн рублей. Как сообщали специалисты F6, каждый день с января по март преступники совершали в среднем по 40 успешных атак, и средняя сумма ущерба составила 120 000 рублей.
«То, что началось как несколько отдельных образцов [малвари], разрослось более чем до 760 вредоносных приложений. NFC-атаки не замедляются, а продолжают ускоряться», — отмечают эксперты Zimperium.
В своем отчете исследователи сообщили, что обнаружили более 70 управляющих серверов и площадок для распространения малвари, а также десятки Telegram-ботов и приватных каналов, с помощью которых атакующие координируют свои операции и получают украденные данные.
По словам экспертов, в основном NFC-малварь распространяется через фальшивые приложения, имитирующие Google Pay или мобильные клиенты крупных банков. В частности, злоумышленники эксплуатируют такие бренды, как Santander Bank, ВТБ, «Тинькофф Банк», Банк России, ING Bank, Bradesco Bank, Промсвязьбанк и другие. При этом отмечается, что визуально вредоносные приложения могут быть весьма убедительными.
Эксперты Zimperium дали пользователям Android несколько рекомендаций по защите:
- никогда не устанавливать APK-файлы из сторонних источников и от недоверенных издателей;
- устанавливать банковские приложения только по официальным ссылкам с сайтов банков;
- внимательно проверять запрашиваемые разрешения — запрос на доступ к NFC или привилегии фоновых сервисов должны вызывать подозрения;
- регулярно сканировать устройство с помощью Play Protect;
- отключать NFC, если функция не используется.
Комментарии (0)