Специалисты Zimperium за последние полтора года обнаружили более 770 фальшивых Android-приложений, использующих NFC и HCE (Host Card Emulation) для похищения платежных реквизитов и проведения мошеннических транзакций. Наибольшая волна распространения подобных программ была зафиксирована прошлым летом, сообщает Anti-Malware.
Атаки маскировались под сервисы и учреждения банковского сектора нескольких стран — в основном российских — и задействовали около двадцати названий организаций. Среди подставных брендов в отчете упоминаются Банк России, «Тинькофф Банк», ВТБ, «Госуслуги», Росфинмониторинг и Google Pay.
Исследователи также выявили более 180 командных серверов и каналов распространения. Координация атак и эксфильтрация украденных данных осуществляются через десятки приватных Telegram-каналов и ботов.
Используемые вредоносные модификации различаются по функционалу. Некоторые образцы работают как считыватели — они перехватывают данные карты с одного устройства и передают их на подконтрольный телефон с приложением-эмулятором, что позволяет злоумышленникам расплачиваться или снимать средства.
Новейшая модификация NFCGate способна эмулировать карты дропов, через которые преступники выводят похищенные деньги: пользователь, полагая, что переводит средства на собственный счет через банкомат, фактически отправляет их в распоряжение мошенников. Менее сложные образцы просто собирают данные карт и публикуют их в заданных Telegram-каналах в режиме реального времени.
Для минимизации взаимодействия с жертвой злоумышленники применяют фальшивые полноэкранные страницы банков (иногда через WebView) с предложением назначить приложение по умолчанию для NFC-платежей. При этом вся обработка событий выполняется в фоновом режиме.
Ранее сообщалось, что Android гораздо безопаснее iPhone.