Исследователи из zLabs выявили угрожающую безопасностью мобильных платежей акцию: более 760 вредоносных приложений на Android используют технологии NFC relay и HCE для хищения данных о платежах и совершения мошеннических транзакций. С апреля 2024 года эти атаки превратились в координированную глобальную операцию, затрагивающую финансовые учреждения в России, Польше, Чехии, Словакии и Бразилии.
Масштабы угрозы
Из примерно 70 использованных C2-серверов злоумышленники прибегают к помощи Telegram для кражи данных и координации действий. Вредоносные приложения маскируются под 20 известных организаций, включая банки России (ВТБ Банк, Тинькофф Банк, Промсвязьбанк), международные банки (Сантандер, PKO Bank Polski, Брадеско) и мобильные платформы, например, Google Pay.
- Приложения действуют как пары: одно приложение сканирует и собирает данные о картах, другое - взаимодействует с торговыми терминалами.
- Используется WebView для имитации банковских порталов.
- Службы в фоновом режиме перехватывают события NFC.
Методы и технологии атак финансовых приложений на Android
Методы и технологии атак
Злоумышленники используют системы команд и контроля с двусторонней передачей через WebSocket. Критические команды включают регистрацию устройства, передачу идентификаторов аппаратуры и возможностей NFC, операции relay APDU, уведомления Telegram с украденными данными и принуждение к обновлению приложений. Злоумышленники также маскируются под банки и правительственные службы (например, Госуслуги), применяют обфускацию кода и упаковку (например, JSONPacker) для обхода статического анализа.
Скрытые угрозы и необходимая осторожность
Эта кампания представляет собой значительное усугубление финансового мошенничества на основе NFC, включая кражу данных о платежах на уровне устройства и постоянную угрозу экосистемам мобильных платежей. Требуется усиление проверки приложений, запрашивающих права на платежи через NFC, чтобы противостоять данной угрозе.
