Эксперты компании Zimperium представили обнадеживающие данные о своей успешной работе по выявлению киберугроз. За период в полтора года им удалось идентифицировать свыше 770 поддельных приложений для Android, которые злоумышленники создавали для незаконного получения платёжной информации через технологии NFC и HCE (Host Card Emulation). Пик активности мошенников пришёлся на летние месяцы прошлого года, что позволило специалистам своевременно отреагировать и принять необходимые меры защиты.
Масштабная операция по защите банковских сервисов
Мошеннические схемы имитировали работу финансовых учреждений и государственных сервисов различных государств, преимущественно российских. В ходе расследования было установлено использование примерно двадцати наименований реальных организаций. В числе копируемых брендов оказались такие авторитетные структуры, как Банк России, Тинькофф Банк, ВТБ, портал Госуслуги, Росфинмониторинг, а также популярный сервис Google Pay.
Благодаря профессиональной работе исследователей было обнаружено более 180 управляющих серверов и путей распространения вредоносного контента. Координация противоправных действий и передача похищенной информации происходила через множество закрытых каналов и ботов в мессенджере Telegram, что помогло экспертам проследить всю цепочку мошеннических операций.
Разнообразие вредоносного функционала
Обнаруженные злонамеренные программы демонстрировали различные принципы работы и уровни сложности. Определённые варианты функционировали в качестве сканеров — они захватывали информацию с банковских карт на одном гаджете и переправляли её на контролируемое злоумышленниками устройство с установленным эмулятором. Такая схема предоставляла преступникам возможность совершать покупки или получать наличные средства.
Самая современная версия NFCGate получила способность имитировать специальные карты для вывода украденных денежных средств. В этом случае владелец карты, думая, что осуществляет перевод на личный счёт через банковский терминал, в действительности направляет деньги мошенникам. Более простые разновидности вредоносных программ ограничивались сбором карточных данных и их мгновенной публикацией в определённых каналах Telegram.
Современные методы маскировки угроз
Для сокращения прямого контакта с потенциальными жертвами киберпреступники разработали изощрённые подделки банковских интерфейсов на весь экран устройства, иногда используя технологию WebView. Эти страницы содержали предложения установить приложение в качестве стандартного инструмента для NFC-платежей. Особенность таких атак заключается в том, что все процессы обработки данных происходят незаметно для пользователя в фоновом режиме.
Положительным моментом является то, что благодаря работе специалистов по кибербезопасности пользователи теперь лучше информированы о потенциальных угрозах и могут принимать более осознанные решения при установке приложений и использовании мобильных платёжных сервисов. Постоянное совершенствование систем защиты даёт основания для оптимизма в вопросах безопасности цифровых финансовых операций.
