Специалисты компании Zimperium предупреждают о росте количества NFC-малвари для Android в Восточной Европе.
За последние месяцы исследователи обнаружили более 760 таких приложений, использующих NFC-атаки для кражи платежных данных пользователей.
Исследователи объясняют, что в отличие от традиционных банковских троянов, которые воруют логины и пароли через фишинговые оверлеи или получают удаленный доступ к устройству, NFC-малварь действует изощреннее. Она эксплуатирует встроенную в Android функцию Host Card Emulation (HCE), позволяющую эмулировать бесконтактные платежные карты.
Такие вредоносы действуют по-разному. Одни перехватывают EMV-поля и сливают данные в Telegram или на контролируемые атакующими серверы. Другие пересылают APDU-команды от POS-терминалов на удаленные серверы, которые формируют правильные ответы для авторизации платежей — все это происходит без физической карты и ведома владельца.
Также существуют более продвинутые варианты, использующие техники вроде , где манипуляция HCE-ответами происходит в режиме реального времени, чтобы провести оплату на кассе.
Некоторые образцы такой малвари маскируются под PWA (Progressive web app) или фейковые банковские приложения и регистрируются в системе как дефолтный обработчик платежей на Android.
Напомним, что мы уже не раз рассказывали ( , , , , ) о таких атаках, которые впервые попали в поле зрения ИБ-экспертов еще осенью 2023 года, когда стали появляться сообщения о взломах клиентов крупных чешских банков.
Изначально NFC-атаки строились вокруг злоупотребления упомянутым опенсорсным приложением NFCGate, которое в 2015 году создали студенты Дармштадтского технического университета. Оно предназначено для отладки протоколов передачи NFC-данных. Приложение поддерживает множество функций, но наибольший интерес для злоумышленников представляет захват NFC-трафика приложений и передача его на удаленное устройство, которым может выступать сервер или непосредственно смартфон атакующего.
с применением NFCGate в России были зафиксированы в августе 2024 года, и уже по итогам первого квартала 2025 года общий ущерб от использования вредоносных версий NFCGate составил 432 млн рублей. Как специалисты F6, каждый день с января по март преступники совершали в среднем по 40 успешных атак, и средняя сумма ущерба составила 120 000 рублей.
В своем отчете исследователи сообщили, что обнаружили более 70 управляющих серверов и площадок для распространения малвари, а также десятки Telegram-ботов и приватных каналов, с помощью которых атакующие координируют свои операции и получают украденные данные.
По словам экспертов, в основном NFC-малварь распространяется через фальшивые приложения, имитирующие Google Pay или мобильные клиенты крупных банков. В частности, злоумышленники эксплуатируют такие бренды, как Santander Bank, ВТБ, «Тинькофф Банк», Банк России, ING Bank, Bradesco Bank, Промсвязьбанк и другие. При этом отмечается, что визуально вредоносные приложения могут быть весьма убедительными.
Эксперты Zimperium дали пользователям Android несколько рекомендаций по защите:
За последние месяцы исследователи обнаружили более 760 таких приложений, использующих NFC-атаки для кражи платежных данных пользователей.
Исследователи объясняют, что в отличие от традиционных банковских троянов, которые воруют логины и пароли через фишинговые оверлеи или получают удаленный доступ к устройству, NFC-малварь действует изощреннее. Она эксплуатирует встроенную в Android функцию Host Card Emulation (HCE), позволяющую эмулировать бесконтактные платежные карты.
Такие вредоносы действуют по-разному. Одни перехватывают EMV-поля и сливают данные в Telegram или на контролируемые атакующими серверы. Другие пересылают APDU-команды от POS-терминалов на удаленные серверы, которые формируют правильные ответы для авторизации платежей — все это происходит без физической карты и ведома владельца.
Также существуют более продвинутые варианты, использующие техники вроде , где манипуляция HCE-ответами происходит в режиме реального времени, чтобы провести оплату на кассе.
Некоторые образцы такой малвари маскируются под PWA (Progressive web app) или фейковые банковские приложения и регистрируются в системе как дефолтный обработчик платежей на Android.
Напомним, что мы уже не раз рассказывали ( , , , , ) о таких атаках, которые впервые попали в поле зрения ИБ-экспертов еще осенью 2023 года, когда стали появляться сообщения о взломах клиентов крупных чешских банков.
Изначально NFC-атаки строились вокруг злоупотребления упомянутым опенсорсным приложением NFCGate, которое в 2015 году создали студенты Дармштадтского технического университета. Оно предназначено для отладки протоколов передачи NFC-данных. Приложение поддерживает множество функций, но наибольший интерес для злоумышленников представляет захват NFC-трафика приложений и передача его на удаленное устройство, которым может выступать сервер или непосредственно смартфон атакующего.
с применением NFCGate в России были зафиксированы в августе 2024 года, и уже по итогам первого квартала 2025 года общий ущерб от использования вредоносных версий NFCGate составил 432 млн рублей. Как специалисты F6, каждый день с января по март преступники совершали в среднем по 40 успешных атак, и средняя сумма ущерба составила 120 000 рублей.
В своем отчете исследователи сообщили, что обнаружили более 70 управляющих серверов и площадок для распространения малвари, а также десятки Telegram-ботов и приватных каналов, с помощью которых атакующие координируют свои операции и получают украденные данные.
По словам экспертов, в основном NFC-малварь распространяется через фальшивые приложения, имитирующие Google Pay или мобильные клиенты крупных банков. В частности, злоумышленники эксплуатируют такие бренды, как Santander Bank, ВТБ, «Тинькофф Банк», Банк России, ING Bank, Bradesco Bank, Промсвязьбанк и другие. При этом отмечается, что визуально вредоносные приложения могут быть весьма убедительными.
Эксперты Zimperium дали пользователям Android несколько рекомендаций по защите:
- никогда не устанавливать APK-файлы из сторонних источников и от недоверенных издателей;
- устанавливать банковские приложения только по официальным ссылкам с сайтов банков;
- внимательно проверять запрашиваемые разрешения — запрос на доступ к NFC или привилегии фоновых сервисов должны вызывать подозрения;
- регулярно сканировать устройство с помощью Play Protect;
- отключать NFC, если функция не используется.
