- Специальный корреспондент
Хотите потерять все свои сбережения? Просто приложите дебетовку к смартфону.
Специалисты компании Cleafy, занимающейся безопасностью мобильных устройств, раскрыли детали новой криминальной схемы, угрожающей владельцам банковских карт. Злоумышленники создали платформу SuperCard X, которая работает по модели "вредоносное ПО как услуга" и позволяет похищать данные через NFC-модуль смартфона для последующего проведения операций в торговых точках и банкоматах.
Исследование показало, что за разработкой стоят китайскоговорящие злоумышленники. В ходе анализа программного кода специалисты обнаружили явное сходство с открытым проектом NFCGate и его вредоносным клоном NGate. Последний уже больше года активно применяется для атак в европейских странах, что говорит о преемственности криминальных технологий.
Распространение SuperCard X организовано через каналы в Telegram, где клиентам предлагается не только сам продукт, но и прямая техническая поддержка. Масштаб угрозы подтверждают многочисленные случаи применения этого вредоносного ПО в Италии. Изучив десятки образцов с небольшими различиями, специалисты Cleafy пришли к выводу, что авторы готовы адаптировать свой продукт под конкретные регионы или специфические задачи заказчиков.
Атака начинается с фальшивого сообщения, которое жертва получает якобы от своего банка через SMS или WhatsApp. В нем говорится о подозрительной операции и необходимости срочно позвонить по указанному номеру для решения проблемы. На этом этапе мошенники стремятся создать ощущение срочности, чтобы жертва действовала менее осмотрительно.
Когда владелец карты перезванивает по указанному номеру, ему отвечает мошенник, маскирующийся под сотрудника службы поддержки. С помощью методов социальной инженерии он выманивает номер карты и PIN-код под предлогом "подтверждения личности". Следующим шагом становится попытка убедить жертву снять лимиты на операции через банковское приложение, что значительно расширяет возможности для хищения средств.
Схема завершается установкой специального приложения Reader, замаскированного под средство безопасности или проверки. Именно в нем содержится вредоносный код SuperCard X. Разработчики проявили особую изобретательность: программа запрашивает минимум разрешений — только доступ к NFC-модулю, что помогает усыпить бдительность пользователя и при этом достаточно для хищения данных.
По указанию лжебанкира владелец карты прикладывает ее к телефону для "верификации". В этот момент запускается механизм считывания информации с чипа, которая немедленно отправляется злоумышленникам. На своем устройстве под управлением Android они используют второе приложение — Tapper, создающее виртуальную копию украденной карты на основе полученных данных.
Такие "цифровые клоны" позволяют совершать бесконтактные платежи в магазинах и снимать наличные в банкоматах. Несмотря на существующие ограничения по суммам, выявить и отменить эти операции крайне сложно — они проходят мгновенно и выглядят для банковских систем полностью легитимными.
Техническая реализация SuperCard X демонстрирует высокий уровень подготовки злоумышленников. Эмуляция карты основана на протоколе ATR (Answer to Reset), благодаря чему платежные терминалы воспринимают подделку как подлинную карту. Этот факт свидетельствует о глубоком понимании создателями принципов работы смарт-карт и платежных систем.
Особую опасность представляют продвинутые механизмы маскировки вредоносного ПО. На момент исследования ни один антивирусный движок на платформе VirusTotal не мог распознать эту угрозу. Отсутствие запросов на подозрительные разрешения и агрессивных функций вроде наложения поверх экрана позволяет обходить даже эвристический анализ защитных систем.
Для защиты от исследователей и правоохранительных органов в SuperCard X реализована сложная система двусторонней аутентификации на базе TLS-сертификатов. Она обеспечивает надежное шифрование обмена данными между вредоносным ПО и управляющими серверами, существенно затрудняя анализ работы платформы.
В ответ на запрос издания BleepingComputer представитель Google сообщил, что приложения с таким вредоносным кодом в официальном магазине Google Play отсутствуют. При этом он подчеркнул: владельцы Android-устройств по умолчанию защищены системой Google Play Protect, которая предупреждает об опасности или блокирует подозрительные программы, даже если они устанавливаются из сторонних источников.
Специалисты компании Cleafy, занимающейся безопасностью мобильных устройств, раскрыли детали новой криминальной схемы, угрожающей владельцам банковских карт. Злоумышленники создали платформу SuperCard X, которая работает по модели "вредоносное ПО как услуга" и позволяет похищать данные через NFC-модуль смартфона для последующего проведения операций в торговых точках и банкоматах.
Исследование показало, что за разработкой стоят китайскоговорящие злоумышленники. В ходе анализа программного кода специалисты обнаружили явное сходство с открытым проектом NFCGate и его вредоносным клоном NGate. Последний уже больше года активно применяется для атак в европейских странах, что говорит о преемственности криминальных технологий.
Распространение SuperCard X организовано через каналы в Telegram, где клиентам предлагается не только сам продукт, но и прямая техническая поддержка. Масштаб угрозы подтверждают многочисленные случаи применения этого вредоносного ПО в Италии. Изучив десятки образцов с небольшими различиями, специалисты Cleafy пришли к выводу, что авторы готовы адаптировать свой продукт под конкретные регионы или специфические задачи заказчиков.
Атака начинается с фальшивого сообщения, которое жертва получает якобы от своего банка через SMS или WhatsApp. В нем говорится о подозрительной операции и необходимости срочно позвонить по указанному номеру для решения проблемы. На этом этапе мошенники стремятся создать ощущение срочности, чтобы жертва действовала менее осмотрительно.
Когда владелец карты перезванивает по указанному номеру, ему отвечает мошенник, маскирующийся под сотрудника службы поддержки. С помощью методов социальной инженерии он выманивает номер карты и PIN-код под предлогом "подтверждения личности". Следующим шагом становится попытка убедить жертву снять лимиты на операции через банковское приложение, что значительно расширяет возможности для хищения средств.
Схема завершается установкой специального приложения Reader, замаскированного под средство безопасности или проверки. Именно в нем содержится вредоносный код SuperCard X. Разработчики проявили особую изобретательность: программа запрашивает минимум разрешений — только доступ к NFC-модулю, что помогает усыпить бдительность пользователя и при этом достаточно для хищения данных.
По указанию лжебанкира владелец карты прикладывает ее к телефону для "верификации". В этот момент запускается механизм считывания информации с чипа, которая немедленно отправляется злоумышленникам. На своем устройстве под управлением Android они используют второе приложение — Tapper, создающее виртуальную копию украденной карты на основе полученных данных.
Такие "цифровые клоны" позволяют совершать бесконтактные платежи в магазинах и снимать наличные в банкоматах. Несмотря на существующие ограничения по суммам, выявить и отменить эти операции крайне сложно — они проходят мгновенно и выглядят для банковских систем полностью легитимными.
Техническая реализация SuperCard X демонстрирует высокий уровень подготовки злоумышленников. Эмуляция карты основана на протоколе ATR (Answer to Reset), благодаря чему платежные терминалы воспринимают подделку как подлинную карту. Этот факт свидетельствует о глубоком понимании создателями принципов работы смарт-карт и платежных систем.
Особую опасность представляют продвинутые механизмы маскировки вредоносного ПО. На момент исследования ни один антивирусный движок на платформе VirusTotal не мог распознать эту угрозу. Отсутствие запросов на подозрительные разрешения и агрессивных функций вроде наложения поверх экрана позволяет обходить даже эвристический анализ защитных систем.
Для защиты от исследователей и правоохранительных органов в SuperCard X реализована сложная система двусторонней аутентификации на базе TLS-сертификатов. Она обеспечивает надежное шифрование обмена данными между вредоносным ПО и управляющими серверами, существенно затрудняя анализ работы платформы.
В ответ на запрос издания BleepingComputer представитель Google сообщил, что приложения с таким вредоносным кодом в официальном магазине Google Play отсутствуют. При этом он подчеркнул: владельцы Android-устройств по умолчанию защищены системой Google Play Protect, которая предупреждает об опасности или блокирует подозрительные программы, даже если они устанавливаются из сторонних источников.
