Приложили карту к телефону по просьбе «банка»? Поздравляем — хакер сейчас снимает ваши деньги через NFC в другой стране
NewsMaker21 тысяча подписчиков в Telegram, $355 тысяч украденных за год, задержания от Праги до Теннесси.
Исследователи Group-IB зафиксировали, что на теневом рынке быстро множатся Android-вредоносы, которые используют NFC и имитируют бесконтактную оплату. Разработку и продажу таких приложений они связывают с китайскоязычными криминальными сообществами в Telegram. Внутри этих чатов инструменты нередко продвигают как CardWallet или remote pay, а в англоязычных обсуждениях за ними закрепилось название Ghost Tap.
Схема строится на перехвате и «прокидывании» NFC-обмена. На стороне жертвы оказывается телефон или кошелек с платежными картами, данные которых уже скомпрометированы. На стороне злоумышленника находится второй смартфон, который принимает этот обмен и позволяет провести оплату или вывести деньги так, будто карта физически лежит рядом с терминалом. В типовом варианте связующим звеном выступает сервер управления (C2): через него платежные данные передаются от устройства жертвы к устройству атакующего, а затем используются для операций через POS-терминалы.
По данным публичных расследований, терминалы иногда продают сами партнеры продавцов вредоносов, чтобы у покупателей инструмента сразу была вся инфраструктура под ключ.
Group-IB отмечает, что жертв часто подводят к установке таких приложений через смс-атаки и звонки с социальной инженерией. В этих сценариях людей убеждают поставить «нужную» программу и приложить банковскую карту к телефону. После этого данные бесконтактного взаимодействия уходят на C2, а на другой стороне цепочки злоумышленник проводит операции либо напрямую, либо через сеть дропов, которые ходят в обычные магазины и расплачиваются на кассе модифицированным tap-to-pay приложением.
Исследователи Group-IB зафиксировали, что на теневом рынке быстро множатся Android-вредоносы, которые используют NFC и имитируют бесконтактную оплату. Разработку и продажу таких приложений они связывают с китайскоязычными криминальными сообществами в Telegram. Внутри этих чатов инструменты нередко продвигают как CardWallet или remote pay, а в англоязычных обсуждениях за ними закрепилось название Ghost Tap.
Схема строится на перехвате и «прокидывании» NFC-обмена. На стороне жертвы оказывается телефон или кошелек с платежными картами, данные которых уже скомпрометированы. На стороне злоумышленника находится второй смартфон, который принимает этот обмен и позволяет провести оплату или вывести деньги так, будто карта физически лежит рядом с терминалом. В типовом варианте связующим звеном выступает сервер управления (C2): через него платежные данные передаются от устройства жертвы к устройству атакующего, а затем используются для операций через POS-терминалы.
По данным публичных расследований, терминалы иногда продают сами партнеры продавцов вредоносов, чтобы у покупателей инструмента сразу была вся инфраструктура под ключ.
Group-IB отмечает, что жертв часто подводят к установке таких приложений через смс-атаки и звонки с социальной инженерией. В этих сценариях людей убеждают поставить «нужную» программу и приложить банковскую карту к телефону. После этого данные бесконтактного взаимодействия уходят на C2, а на другой стороне цепочки злоумышленник проводит операции либо напрямую, либо через сеть дропов, которые ходят в обычные магазины и расплачиваются на кассе модифицированным tap-to-pay приложением.