Киберпреступники распространяют троянец GhostNFC через Telegram для атак на бесконтактные платежи

По данным исследователей, данный экземпляр малвари рекламируется как минимум в трех Telegram-каналах на китайском языке. Вредоносная программа распространяется в виде APK-файла, который пользователи загружают с внешнего сервера, минуя официальный магазин приложений Google Play Store. Это позволяет злоумышленникам обходить встроенные системы безопасности платформы. Специалисты продолжают выявлять новые индикаторы компрометации и образцы, связанные с этой продолжающейся угрозой, что свидетельствует об ее активном развитии.

Данный случай является часть общей тревожной тенденции, при которой киберпреступники постоянно разрабатывают и распространяют различные виды банковских троянцев для Android. Особую опасность представляют зловреды, специализирующиеся на краже данных NFC - технологии, используемой для безопасных транзакций, включая оплату с помощью смартфонов. Такие троянцы, как GhostNFC или NGate, способны похищать информацию платежных карт, хранящуюся на устройстве жертвы, используя атаки ретрансляции NFC-сигнала или так называемое «призрачное касание» (ghost tapping).

Целью злоумышленников является получение финансовой выгоды. Похищенные данные используются для создания клонов карт или проведения несанкционированных транзакций. Обналичивание средств происходит через банкоматы (ATM) или платежные терминалы (POS-системы) в торговых точках. Эта схема представляет серьезную угрозу для владельцев смартфонов, активно использующих функцию бесконтактной оплаты.

В последние годы ландшафт угроз пополнился целым семейством подобных Android-троянцев. Помимо GhostNFC и NGate, эксперты отмечают активность таких зловредов, как SuperCard X и PhantomCard. Последний, например, активно распространяется в Бразилии. Исследовательская группа ThreatFabric детально описала его механизм действия, отмечая, что троянец не только крадет NFC-данные, но и обладает функциями для перехвата SMS-сообщений и удаленного управления устройством. Аналитики Cleafy раскрыли деятельность китайской преступной группировки, предлагающей услуги по распространению троянца SuperCard X по модели MaaS (Malware-as-a-Service, «вредоносное ПО как услуга»), что упрощает для менее технически подкованных преступников проведение сложных атак. ESET, в свою очередь, подробно изучила троянец NGate, который работает путем ретрансляции NFC-трафика с зараженного телефона жертвы на устройство мошенника, находящееся рядом с платежным терминалом, что позволяет мгновенно похищать деньги.

Распространение подобных угроз через Telegram каналы создает дополнительные сложности для защиты. Закрытые или приватные каналы в мессенджере становятся удобной платформой для рекламы и дистрибуции вредоносного ПО, минуя традиционные системы модерации. Пользователям следует проявлять крайнюю осторожность и избегать установки приложений из непроверенных источников, какими бы заманчивыми они ни казались. Установка ПО только из официального Google Play Store значительно снижает риск заражения, хотя и не гарантирует стопроцентную безопасность.

Обнаружение новой кампании по распространению троянца в стиле GhostNFC лишний раз подчеркивает, что угроза кражи данных NFC остается актуальной. Киберпреступники непрерывно совершенствуют свои методы, адаптируясь к мерам защиты. В данной ситуации ключевую роль играет осведомленность пользователей. Владельцам устройств Android рекомендуется регулярно обновлять операционную систему и приложения, использовать надежные решения для безопасности, внимательно проверять разрешения, запрашиваемые приложениями, и отключать NFC, когда эта функция не используется. Для бизнеса, особенно для финансовых учреждений и компаний, работающих с платежными системами, важно внедрять многофакторную аутентификацию и системы мониторинга для обнаружения подозрительной активности, которая может указывать на успешную атаку с использованием похищенных данных.

URLs

• https://nfc.nfu829.com/app/nfu.apk

SHA256

• 0fb7385e5880da21398918d0f85cf2515ec097e6be271d430f038ada1763fa9a
• 189705223aa714897ffa8c61ac1d2dd37b5428502c45dcdd94b69e13e6a53d97
• 1e760aa3505fd6539f4938da919fb2b6dc7aee014a83632d1ecb5425b01e55fc
• 21c66fe505f2bcd7b29d413189920b3a85df48da0ecf4eb6962d6a504a7fdcd8
• 258f044046b11803f85bf8d8095897bcd2775fb6152877a2f5054f625d019386
• 2a54b80e464c2000ae4c6c0e5bb6fbd205fb850d77ebbcb533c5a6c753606a37
• 2d4d60254c4eb979eda144832020170338b0c18159bc597e5699709b7209e188
• 30c8a8f570485b451e685acfb8d89df6bf7f01912f5d6a4c4ee7f48b7b7880f9
• 337bbb68d29a7d7763f02b4e7b753ab1de142d8dac0d47ff00a5bc41a2ad3245
• 48e435559476771b06ddfbe0a7fb00e34472cf736a81c9e42aac0a7f04804105
• 4f3edcc4df7bc6b5b96d2a681602f35e1e1b8bbb103e21752ad94ddda28a1dc1
• 5769ae3cc93943dda4d1743f2febf6cec1282a0a6289da68cb55bb4724ec9332
• 5cecb80222d418b9adb93b5000aca54db28cd276d1d4d6f4f3bfa0e0167c5f5e
• 5e730e5f05acf7653291f3a06924553da36b16c6205f850a9388edfedad264ed
• 61a6aa241c354cc5b696146b5a2f08794c0b8865f3073675e22e0fa0f8fe5918
• 642c2f73fff0e453c9e6ae4de976a7821c512cb6dc5ed0c4aaf5e4dbf2596edb
• 7fca16e7aa358c9d57054564c51a86031ebdcbedfa24ae42c26a8de3fdf24d44
• 9807c45356e82e876a02fc0157d0a4253c6967e34ce38ea62f9702b98893b990
• a78ab0c38fc97406727e48f0eb5a803b1edb9da4a39e613f013b3c5b4736262f
• ae42632969be3247a465361395b04fec80b14622b94d3269fa02c6e062335a79
• cb10953f39723427d697d06550fae2a330d7fff8fc42e034821e4a4c55f5a667
• d567a41f802a7b7c498c78aadd4dde07662cb97527a751ed698026aa9c2ef6d7
• daa45607401f00113a47565cb36ead5f6232a1c79d52641c4189c74c828fef4d
• df01a50867227fae6fa652d4cbc99a39f695ee5932574ea5c8e669f4882b56a3
• f6ac2ac7cb521c38a334e0696db86a370f8be52ae563080c27982197719b74cf