Мошенники научились создавать клоны карт-дропперов на телефонах жертв

АО "Будущее" (F6) обнаружило новую мошенническую схему с применением вредоносной версии приложения NFC Gate. С его помощью мошенники создают копию клон карты-дропа на устройстве жертвы, а не перехватывают NFC-данные.

"Когда в результате атаки мошенников жертва через банкомат попытается зачислить деньги на счет, вся сумма отправится на карту дропа. Общий ущерб клиентов российских банков от использования всех вредоносных версий NFCGate за I квартал 2025 г. составил 432 млн руб.", - говорится в сообщении F6.

С этой оценкой согласился основатель ООО "Интернет розыск", эксперт рынка НТИ SafeNet Игорь Бедеров. Он отметил, что такая сумма вполне реальна и выглядит значительно на фоне общего роста кибермошенничества в России. По его словам, только в III квартале 2024 г. мошенники украли рекордные 9,2 млрд руб.

"Это подчеркивает, что NFCGate стало одним из самых опасных инструментов в арсенале злоумышленников, особенно с учетом его адаптации под модели Malware-as-a-Service и интеграции с колл-центрами", - заметил он.

NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 г. На его основе злоумышленники создали вредоносное ПО. При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести PIN-код. Данные сразу передаются на устройство преступников и позволяют им обналичить деньги со счета пользователя в банкомате.

Есть две схемы

Руководитель группы исследований безопасности банковских систем АО "Позитив Текнолоджиз" (Positive Technologies) Сергей Белов рассказал, что среди мошенников популярны две схемы. Первая - атака ретрансляции, когда жертву убеждают установить вредоносное программное обеспечение, маскирующееся под легитимное (банковские приложения), которое перехватывает данные банковской карты жертвы, передает их злоумышленникам для эмуляции и последующего обналичивания средств. Вторая - "обратная" схема, когда мошенники устанавливают клон карты-дропа на смартфон жертвы и затем убеждают ее пройти к банкомату и выполнить типовые действия: ввести PIN-код и приложить телефон к NFC-считывателю. Таким образом карта собственноручно переводит средства злоумышленникам.

"Также используются сопутствующие дополнительные сценарии: заражение через поддельные QR-коды, подмена публичных NFC-терминалов в транспорте и кафе, а также фальсификация обновлений от операторов связи или банков - все они сводятся к установке на устройство вредоносной версии NFCGate", - отметил Сергей Белов.

Об аналогичных схемах рассказал и Игорь Бедеров. Он добавил, что очень часто вредоносное ПО маскируется под приложения государственных сервисов, например, "Госуслуги Верификация" или "ЦБРезерв+".

Предупрежден - значит вооружен

Чтобы защититься от злоумышленников, Игорь Бедеров порекомендовал не устанавливать приложения из непроверенных источников и не сообщать PIN- и CVV- коды, даже если приложение выглядит легитимным.

Согласно рекомендации Сергея Белова, пользователям стоит отключить NFC на телефоне, если функция не используется. По его словам, это действие "кардинально снижает риск любого бесконтактного взаимодействия, включая считывание или эмуляции карты". Так же Сергей Белов отметил, что стоит включить двухфакторную аутентификацию для входа в банковские приложения и никогда не устанавливать приложения из сторонних источников, особенно из ссылок, SMS-сообщений, мессенджеров или звонков.

"Банковскому сектору необходимо активно дорабатывать антифрод-системы: учитывать географические и временные аномалии в операциях, вводить обязательную задержку на переводы при переводе определенной суммы новому получателя и тому подобное", - заключил Сергей Белов.