От поддельных приложений до подельников у банкомата — хитроумные схемы удивляют даже исследователей.
Новая вредоносная кампания на
Исследователи ThreatFabric
PhantomCard распространяется через поддельные страницы Google Play, замаскированные под приложение «Proteção Cartões» с фиктивными положительными отзывами. После установки программа запрашивает у пользователя приложить банковскую карту к смартфону «для проверки» и ввести PIN, который пересылается атакующему. Эквивалентное приложение на устройстве подельника обеспечивает синхронизацию с платёжным терминалом.
По данным ThreatFabric, за разработкой стоит бразильский продавец вредоносных инструментов Go1ano, использующий китайскую платформу NFU Pay, предлагающую аналогичные услуги как часть сервиса «вредоносное ПО по подписке». Среди сопоставимых решений упоминаются
В отчётах Resecurity за июль
Одновременно компания K7 Security
Ещё один вектор атак в Индии связан с поддельными кредитными приложениями под брендами крупных банков, загружаемыми с фишинговых страниц.
Встроенная функция позволяет запускать майнер криптовалюты XMRig при получении определённых сообщений через Firebase Cloud Messaging. Для маскировки страницы подгружают изображения и скрипты с настоящих банковских сайтов, добавляя кнопки загрузки, ведущие на заражённые файлы.
Разнообразие применяемых схем показывает, что мобильные устройства всё чаще становятся центром финансовых атак, а доверие к привычным каналам связи и платежей оборачивается главным уязвимым звеном в защите пользователя.
Подробнее:

Новая вредоносная кампания на
Для просмотра ссылки необходимо нажать
Вход или Регистрация
нацелена на банковских клиентов в Бразилии, Индии и странах Юго-Восточной Азии, комбинируя бесконтактное мошенничество через
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, перехват звонков и эксплуатацию уязвимостей устройств.Исследователи ThreatFabric
Для просмотра ссылки необходимо нажать
Вход или Регистрация
о трояне PhantomCard, который использует технологию
Для просмотра ссылки необходимо нажать
Вход или Регистрация
для проведения релейных атак. Злоумышленники получают данные карты жертвы, передавая их через управляемый сервер на устройство подельника, находящегося рядом с терминалом оплаты или банкоматом. Таким образом создаётся канал, позволяющий проводить операции, словно карта физически находится у преступника.PhantomCard распространяется через поддельные страницы Google Play, замаскированные под приложение «Proteção Cartões» с фиктивными положительными отзывами. После установки программа запрашивает у пользователя приложить банковскую карту к смартфону «для проверки» и ввести PIN, который пересылается атакующему. Эквивалентное приложение на устройстве подельника обеспечивает синхронизацию с платёжным терминалом.
По данным ThreatFabric, за разработкой стоит бразильский продавец вредоносных инструментов Go1ano, использующий китайскую платформу NFU Pay, предлагающую аналогичные услуги как часть сервиса «вредоносное ПО по подписке». Среди сопоставимых решений упоминаются
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, KingNFC и X/Z/TX-NFC. Эксперты предупреждают, что подобные сервисы расширяют ареал атак, снимая барьеры языка и инфраструктуры.В отчётах Resecurity за июль
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, что страны Юго-Восточной Азии, в частности Филиппины, стали испытательным полигоном для бесконтактных махинаций. Здесь рост популярности NFC-платежей, особенно для мелких сумм, обходящихся без ввода PIN, облегчает проведение несанкционированных транзакций и затрудняет их отслеживание.Одновременно компания K7 Security
Для просмотра ссылки необходимо нажать
Вход или Регистрация
в Индии кампанию с Android-вредоносом SpyBanker, распространяемым через WhatsApp под видом приложения поддержки клиентов банка. Он меняет номер переадресации звонков на заранее заданный, чтобы перехватывать входящие вызовы, и собирает данные SIM-карты, банковские сведения, SMS и уведомления.Ещё один вектор атак в Индии связан с поддельными кредитными приложениями под брендами крупных банков, загружаемыми с фишинговых страниц.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
McAfee, эти APK-файлы работают как «дропперы», загружая вредоносный модуль после установки. Пользователю показывается интерфейс, копирующий настоящий, с формами для ввода ФИО, номера карты, CVV, срока действия и телефона.Встроенная функция позволяет запускать майнер криптовалюты XMRig при получении определённых сообщений через Firebase Cloud Messaging. Для маскировки страницы подгружают изображения и скрипты с настоящих банковских сайтов, добавляя кнопки загрузки, ведущие на заражённые файлы.
Разнообразие применяемых схем показывает, что мобильные устройства всё чаще становятся центром финансовых атак, а доверие к привычным каналам связи и платежей оборачивается главным уязвимым звеном в защите пользователя.
Подробнее:
Для просмотра ссылки необходимо нажать
Вход или Регистрация