Обнаружен новый вирус для Android, ворующий банковские данные через NFC

Михаил Года

Основные тезисы

Специалисты Cleafy Threat Intelligence обнаружили новый вирус SuperCard X для Android, ворующий банковские данные через NFC, распространяя его с помощью социальной инженерии через мессенджер Telegram.
Вирус позволяет преступникам совершать транзакции от имени жертвы, считывая данные банковской карты через NFC, и предполагает участие китайской хакерской группы.

Иллюстративное фото / Unsplash

Специалисты компании по кибербезопасности Cleafy Threat Intelligence обнаружили новую вредоносную кампанию, направленную на пользователей устройств Android. Речь идет о вирусе SuperCard X, который использует сложные технологии для кражи средств путем перехвата и повторной трансляции NFC-данных с инфицированных смартфонов.

Злоумышленники распространяют SuperCard X с помощью методов социальной инженерии, сообщает 24 Канал со ссылкой на Cleafy.

Как это работает?

Жертв убеждают установить вредоносную программу и "подключить" собственную банковскую карту к зараженному устройству. В дальнейшем хакеры получают доступ к NFC-модулю телефона и считывают с карты необходимую информацию.

Полученные данные используются для создания ее цифровой копии, с которой преступники осуществляют бесконтактные платежи или снятие наличных в банкоматах.

Вирус распространяется по схеме Malware-as-a-Service (вредоносное ПО как услуга) через каналы в мессенджере Telegram. По данным Cleafy, программный код SuperCard X в значительной степени похож на код вируса NGate, который в прошлом году исследовала компания ESET. Предполагается, что за новой кампанией стоит группа китайских хакеров.

Особую опасность представляет технология relaying – передача NFC-сигнала с одного устройства на другое. Благодаря этому хакеры могут совершать транзакции от имени жертвы на расстоянии. Специалисты зафиксировали несколько подобных случаев в странах Европы. Обнаруженные образцы вируса свидетельствуют об адаптивности SuperCard X к региональным особенностям.

Как не попасть на крючок?

Атака начинается со спам-сообщения в SMS или WhatsApp якобы от банка. В сообщении говорится о подозрительной транзакции и необходимости срочно позвонить. На звонок отвечает злоумышленник, который представляется работником службы поддержки и заставляет жертву "подтвердить" данные своей карты – номер и PIN-код.

Далее жертву убеждают снять лимиты расходов в банковском приложении, а затем установить якобы защитную программу, которая на самом деле содержит вирус SuperCard X.

Приложение требует минимальные разрешения – в основном только доступ к NFC. После этого мошенник просит приложить карточку к смартфону "для проверки", и вирус считывает с нее информацию.

Получив данные, злоумышленники запускают на своем устройстве приложение, имитирующее карту жертвы. Благодаря этому они могут совершать бесконтактные платежи или снимать наличные в банкоматах. Из-за того, что большинство таких операций не превышают лимиты, банки не считают их подозрительными и не блокируют.