Мобильное приложение NFCGate, изначально созданное студентами Технического университета Дармштадта в качестве учебного проекта в 2015 году, стало для злоумышленников мощным инструментом для удаленного доступа и опустошения банковских счетов пользователей Android по всему миру.
NFCGate
О первом преступном использовании NFCGate стало известно в ноябре 2023 года, а в августе 2024 года были зафиксированы успешные атаки на клиентов банков в России, нанесшие значительный финансовый ущерб. С тех пор было совершено множество атак на клиентов ведущих российских банков, и эксперты прогнозируют дальнейшее увеличение числа подобных кибератак. Мошенники также модифицировали приложение и замаскировали вредоносное ПО под государственные и банковские службы, что усложнило задачу обнаружения и защиты от этих атак.
Появление этой новой схемы застало специалистов по безопасности банков врасплох. В ответ на это отделы F.A.C.C.T. по защите от мошенничества и анализу угроз дали рекомендации о том, как банки и клиенты могут защититься от этой угрозы. Они проанализировали возможности NFCGate и различных вредоносных модификаций, созданных на его основе. Кроме того, было обнаружено более 100 уникальных образцов вредоносного ПО на базе NFCGate, а также изучена серверная инфраструктура злоумышленников и программное обеспечение, используемое для сборки специализированных вредоносных файлов на базе NFCGate.
Само приложение NFCGate служит легитимным инструментом для перехвата, мониторинга и анализа трафика NFC. Изначально оно было разработано как учебный проект с открытым исходным кодом и доступно на GitHub. Приложение имеет различные режимы работы, включая Clone, Relay, Capture и Replay. В режиме «Клон» приложение считывает NFC-метки и позволяет их последующее воспроизведение. Режим Relay позволяет передавать трафик NFC по сети, имитируя обмен данными между считывателем и устройством с меткой. Режим Capture пассивно перехватывает и записывает NFC-трафик, а режим Replay позволяет воспроизводить выбранный NFC-сигнал между устройствами. Каждый режим требует определенных настроек и разрешений.
Indicators of Compromise
MD5
- 2885570cb0a2c46d05c885772a685ff6
- 34e3bce12248e84f79826a47e5830753
- 76285e2337b2fcb90d91638ed79772ee
- 79e8bd71e091bca6a41354843e14dccf
- 89aca76ded53250a44458fc7bb609e7c
- b294f5356875d8c9ca472e6791420a50
- b5ce02588faf66ea69b5e473ee5817d6
SHA1
- 289c372e94165744fbdba36122646f1a01386e0c
- 4deb390c45980b802d354dc902e7b17329564007
- 5b115dca1366c988a4aa7a65a2eeb03a113d1a05
- 65199f574b284049a9ab354ac67aef59789ade33
- 87c8ecc5bde17f62b54a749ab05f4165f5c0fb0e
- cca4ada7f4fb0b5880e6c0cfd416779b31909f34
- cebd20049e2f3a614ff891f14bb7e7442a258115
SHA256
- 31fdaa61cadd545c4c859ed255ada413cbb09b2201f047745a7374ec1d54aa43
- 45bba7681e5a2c3512e6337baed739d3af30af5bfc9ffe0ae18e211e068274a1
- 54eac45f3f5ac121c74c2ef66923cd3da5a5dc8b03bf3e4c43935fcc1e5f6eed
- 9206e1de5dd2a10cc38cce0b8c507c1380fc035199fabc93908459376992c6cd
- d85e9e8cd1a516b50dbc909e9c05df28708b13c4aba540c74378cc4ec3723fcc
- e95e642a99f9c281a9355441ba062de9239ba0f8464a862bfa61db371ea38436
- f788b3536222942754f586169650c6b38f8d5a7d0d831fb104c913995d1b42ef
