Виявлено новий Android-вірус, що краде дані банківських карток через NFC

Компанія Cleafy Threat Intelligence, що працює у сфері інформаційної безпеки, виявила нову шкідливу кампанію, спрямовану на крадіжку грошових коштів у користувачів пристроїв на базі Android. Вона отримала назву SuperCard X і передбачає використання складної технології, що дає змогу зловмисникам проводити платежі та знімати кошти в банкоматах шляхом перехоплення і ретрансляції даних, переданих через NFC, зі зламаних пристроїв.

У рамках кампанії SuperCard X зловмисники використовують прийоми соціальної інженерії для поширення шкідливого програмного забезпечення. Обманюючи жертв, вони змушують їх встановлювати шкідливе ПЗ, а потім «підключають» власні платіжні картки до заражених пристроїв. Зловмисники пропонують свої послуги за схемою «шкідливе ПЗ як послуга» (MaaS) і просувають їх через Telegram-канали.

У повідомленні йдеться про те, що програмний код шкідливого ПЗ, поширюваного в рамках кампанії SuperCard X, має істотну схожість із кодом вірусу NGate, виявленого минулого року компанією ESET. Зазначається, що нова кампанія, імовірно організована китайськими хакерами, створює значні фінансові ризики, які виходять за рамки звичайних цілей подібних атак, зачіпаючи безпосередньо емітентів банківських карток і платформи, що обслуговують проведення транзакцій.

Інноваційне поєднання шкідливого ПЗ і методу ретрансляції даних, що передаються через NFC, дає змогу зловмисникам здійснювати операції з переведення в готівку коштів за допомогою дебетових і кредитних карток. Використовувана техніка демонструє високу ефективність, особливо під час безконтактного зняття коштів у банкоматах. Фахівцям вдалося виявити кілька атак такого типу в Європі. Також було виявлено кілька зразків шкідливого ПЗ, що свідчить про здатність зловмисників адаптувати вірус з урахуванням регіональних та інших особливостей передбачуваної зони його застосування.

Атака починається з того, що жертва отримує SMS-повідомлення або повідомлення у WhatsApp, нібито від імені банку, клієнтом якого вона є. У повідомленні вказується на необхідність зателефонувати за вказаним номером для вирішення проблеми, викликаної підозрілою транзакцією. На дзвінок відповідає зловмисник, який видає себе за представника служби підтримки банку, і за допомогою прийомів соціальної інженерії змушує жертву «підтвердити» номер своєї картки та PIN-код.

Потім жертву переконують у необхідності зняти обмеження на витрати через банківський застосунок. Після цього зловмисник вмовляє встановити шкідливий застосунок, замаскований під інструмент забезпечення безпеки платежів, у якому міститься шкідник SuperCard X. Після встановлення застосунок запитує мінімальні дозволи - в основному, доступ до модуля NFC, чого цілком достатньо для крадіжки даних.

Шахрай просить жертву прикласти картку до смартфона для її верифікації, що дає змогу шкіднику зчитати дані з чипа картки, після чого вони пересилаються зловмисникам. Отримавши ці дані, зловмисники на своєму Android-пристрої запускають застосунок для емуляції картки жертви і крадуть з неї кошти. Емуляція картки дає змогу проводити безконтактні платежі в магазинах, а також знімати готівку в банкоматах. Оскільки такі операції, як правило, здійснюються на невеликі суми, банки не вважають їх підозрілими і не блокують.

У повідомленні підкреслюється, що наразі шкідник SuperCard X не розпізнається жодною антивірусною системою на VirusTotal. Крім того, відсутність необхідності у великій кількості дозволів на пристроях жертви і відсутність явно підозрілих функцій, як-от накладення екрана, дає змогу шкіднику уникати уваги антивірусного ПЗ. Емуляція картки жертви також виглядає легітимною для платіжних сервісів, що свідчить про високий рівень підготовки зловмисників, включно з глибоким розумінням роботи протоколів смарт-карток.