Хотите потерять все свои сбережения? Просто приложите дебетовку к смартфону.
Специалисты , занимающейся безопасностью мобильных устройств, раскрыли детали новой криминальной схемы, угрожающей владельцам банковских карт. Злоумышленники создали платформу SuperCard X, которая работает по модели "вредоносное ПО как услуга" и позволяет похищать данные через NFC-модуль смартфона для последующего проведения операций в торговых точках и банкоматах.
Исследование показало, что за разработкой стоят акторы, связанные с Китаем. В ходе анализа программного кода специалисты обнаружили явное сходство с открытым проектом NFCGate и его вредоносным клоном NGate. Последний уже больше года активно применяется для атак в европейских странах, что говорит о преемственности криминальных технологий.
Распространение SuperCard X организовано через каналы в Telegram, где клиентам предлагается не только сам продукт, но и прямая техническая поддержка. Масштаб угрозы подтверждают многочисленные случаи применения этого вредоносного ПО в Италии. Изучив десятки образцов с небольшими различиями, специалисты Cleafy пришли к выводу, что авторы готовы адаптировать свой продукт под конкретные регионы или специфические задачи заказчиков.
Атака начинается с фальшивого сообщения, которое жертва получает якобы от своего банка через SMS или WhatsApp. В нем говорится о подозрительной операции и необходимости срочно позвонить по указанному номеру для решения проблемы. На этом этапе мошенники стремятся создать ощущение срочности, чтобы жертва действовала менее осмотрительно.
Когда владелец карты перезванивает по указанному номеру, ему отвечает скамер, маскирующийся под сотрудника службы поддержки. С помощью методов социальной инженерии он выманивает номер карты и PIN-код под предлогом "подтверждения личности". Следующий шаг - попытка убедить жертву снять лимиты на операции через банковское приложение, что значительно расширяет возможности для хищения средств.
Схема завершается установкой специального приложения Reader, замаскированного под средство безопасности или проверки. Именно в нем содержится вредоносный код SuperCard X. Разработчики проявили особую изобретательность: программа запрашивает минимум разрешений — только доступ к NFC-модулю, что помогает усыпить бдительность пользователя. Однако для хищения этого вполне достаточно.
По указанию лжебанкира владелец карты прикладывает ее к телефону для "верификации". В этот момент запускается механизм считывания информации с чипа, которая немедленно отправляется злоумышленникам. На своем устройстве под управлением Android они используют второе приложение — Tapper, создающее виртуальную копию украденной карты на основе полученных данных.
Такие "цифровые клоны" позволяют совершать бесконтактные платежи в магазинах и снимать наличные в банкоматах. Несмотря на существующие ограничения по суммам, выявить и отменить эти операции крайне сложно — они проходят мгновенно и выглядят для банковских систем полностью легитимными.
В основе вредоноса лежит протокол ATR (Answer to Reset) — стандартный механизм, который запускается при каждом подключении к терминалу. Когда терминал отправляет карте сигнал сброса, та должна ответить специальным кодом, подтверждающим свою подлинность. SuperCard X научилась точно имитировать эти ответы, то есть генерировать такие же последовательности байтов, какие приходят с настоящего счета.
Особую опасность представляют продвинутые механизмы маскировки вредоносного ПО. На момент исследования ни один антивирусный движок на VirusTotal не мог распознать угрозу. Обычно подозрительные программы пытаются получить широкий доступ к функциям смартфона или создают поддельные окна поверх интерфейса банковских приложений, чтобы красть пароли. SuperCard X не запрашивает таких разрешений, поэтому антивирусы её не видят даже при использовании эвристических методов — когда программу проверяют не по базе известных вредоносов, а по характерному поведению.
Также злоумышленники внедрили систему проверки подлинности на основе TLS — современного стандарта защиты интернет-соединений, который применяют банки и платёжные системы. Когда программа обменивается данными с серверами мошенников, она шифрует весь трафик с помощью специальных цифровых сертификатов. Благодаря этому исследователи не могут перехватить и расшифровать команды, которые получает SuperCard X, или данные, которые она отправляет создателям.
В ответ на запрос журналистов представитель Google сообщил, что приложения с таким вредоносным кодом в официальном магазине Google Play отсутствуют. При этом он подчеркнул: владельцы Android-устройств по умолчанию защищены системой Google Play Protect, которая предупреждает об опасности или блокирует подозрительные программы, даже если они устанавливаются из сторонних источников.
Подробнее:
Специалисты , занимающейся безопасностью мобильных устройств, раскрыли детали новой криминальной схемы, угрожающей владельцам банковских карт. Злоумышленники создали платформу SuperCard X, которая работает по модели "вредоносное ПО как услуга" и позволяет похищать данные через NFC-модуль смартфона для последующего проведения операций в торговых точках и банкоматах.
Исследование показало, что за разработкой стоят акторы, связанные с Китаем. В ходе анализа программного кода специалисты обнаружили явное сходство с открытым проектом NFCGate и его вредоносным клоном NGate. Последний уже больше года активно применяется для атак в европейских странах, что говорит о преемственности криминальных технологий.
Распространение SuperCard X организовано через каналы в Telegram, где клиентам предлагается не только сам продукт, но и прямая техническая поддержка. Масштаб угрозы подтверждают многочисленные случаи применения этого вредоносного ПО в Италии. Изучив десятки образцов с небольшими различиями, специалисты Cleafy пришли к выводу, что авторы готовы адаптировать свой продукт под конкретные регионы или специфические задачи заказчиков.
Атака начинается с фальшивого сообщения, которое жертва получает якобы от своего банка через SMS или WhatsApp. В нем говорится о подозрительной операции и необходимости срочно позвонить по указанному номеру для решения проблемы. На этом этапе мошенники стремятся создать ощущение срочности, чтобы жертва действовала менее осмотрительно.
Когда владелец карты перезванивает по указанному номеру, ему отвечает скамер, маскирующийся под сотрудника службы поддержки. С помощью методов социальной инженерии он выманивает номер карты и PIN-код под предлогом "подтверждения личности". Следующий шаг - попытка убедить жертву снять лимиты на операции через банковское приложение, что значительно расширяет возможности для хищения средств.
Схема завершается установкой специального приложения Reader, замаскированного под средство безопасности или проверки. Именно в нем содержится вредоносный код SuperCard X. Разработчики проявили особую изобретательность: программа запрашивает минимум разрешений — только доступ к NFC-модулю, что помогает усыпить бдительность пользователя. Однако для хищения этого вполне достаточно.
По указанию лжебанкира владелец карты прикладывает ее к телефону для "верификации". В этот момент запускается механизм считывания информации с чипа, которая немедленно отправляется злоумышленникам. На своем устройстве под управлением Android они используют второе приложение — Tapper, создающее виртуальную копию украденной карты на основе полученных данных.
Такие "цифровые клоны" позволяют совершать бесконтактные платежи в магазинах и снимать наличные в банкоматах. Несмотря на существующие ограничения по суммам, выявить и отменить эти операции крайне сложно — они проходят мгновенно и выглядят для банковских систем полностью легитимными.
В основе вредоноса лежит протокол ATR (Answer to Reset) — стандартный механизм, который запускается при каждом подключении к терминалу. Когда терминал отправляет карте сигнал сброса, та должна ответить специальным кодом, подтверждающим свою подлинность. SuperCard X научилась точно имитировать эти ответы, то есть генерировать такие же последовательности байтов, какие приходят с настоящего счета.
Особую опасность представляют продвинутые механизмы маскировки вредоносного ПО. На момент исследования ни один антивирусный движок на VirusTotal не мог распознать угрозу. Обычно подозрительные программы пытаются получить широкий доступ к функциям смартфона или создают поддельные окна поверх интерфейса банковских приложений, чтобы красть пароли. SuperCard X не запрашивает таких разрешений, поэтому антивирусы её не видят даже при использовании эвристических методов — когда программу проверяют не по базе известных вредоносов, а по характерному поведению.
Также злоумышленники внедрили систему проверки подлинности на основе TLS — современного стандарта защиты интернет-соединений, который применяют банки и платёжные системы. Когда программа обменивается данными с серверами мошенников, она шифрует весь трафик с помощью специальных цифровых сертификатов. Благодаря этому исследователи не могут перехватить и расшифровать команды, которые получает SuperCard X, или данные, которые она отправляет создателям.
В ответ на запрос журналистов представитель Google сообщил, что приложения с таким вредоносным кодом в официальном магазине Google Play отсутствуют. При этом он подчеркнул: владельцы Android-устройств по умолчанию защищены системой Google Play Protect, которая предупреждает об опасности или блокирует подозрительные программы, даже если они устанавливаются из сторонних источников.
Подробнее:
