Взрывной рост приложений, паразитирующих на NFC. Сотни вредоносов атакуют Россию

Исследователи Zimperium выявили всплеск в количестве вредоносных приложений под Android, эксплуатирующих платёжные инструменты, в особенности - NFC. Некоторые из мошеннических приложений выдают себя за клиентское ПО российских банков - ВТБ, Промсвязьбанка и других.

Приложения-паразиты

В странах Восточной Европы набирает силу крайне неприятный для пользователей смартфонов тренд: резко возросло количество вредоносов, нацеленных на NFC-соединения (Near-Field Communication, применяются, в первую очередь, для быстрых платежей). Исследователи компании Zimperium насчитали за последние месяцы не менее 760 разных вредоносных приложений под Android, которые используются для кражи платёжной информации.

В отличие от типовых банковских троянцев, которые используют перекрывающие слои для перехвата банковских реквизитов, или средств удалённого доступа, которые применяются для мошеннических транзакций, NFC-вредоносы злоупотребляют системой Android Host Card Emulation для кражи данных самой платёжной карты.

Они перехватывают поля EMV (это платёжный стандарт, сформированный Europay, MasterCard и Visa), на команды APDU (это протокол) от платёжных терминалов отвечают значениями, заданными злоумышленниками, или перенаправляют запросы от терминала на удалённый сервер, где формируются нужные APDU-ответы, с тем, чтобы открыть возможность осуществлять платежи на терминале при физическом отсутствии держателя карты.



FreePik Сотни вредоносов атакуют россиян через NFC, притворяясь приложениями известных банков

«К сожалению, единственный гарантированный способ уберечься - это не использовать NFC на смартфонах для осуществления финансовых транзакций, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Но для тех, кто привык пользоваться этими инструментами, отказаться будет слишком некомфортно. Так что остаётся одно: относиться к каждому платежу как рискованной процедуре и удостовериться, что платёж в принципе возможен только после авторизации. NFC-подсистему лучше держать выключенной, как и Bluetooth».

Восточная Европа - главная цель

Атаки подобного рода были впервые замечены в 2023 году в Польше. За этим последовали кампании в Чешской Республике и в России. Zimperium отмечает также атаки в Словакии и других странах.

К настоящему моменту установились несколько регулярно встречающихся вариантов атак.

Первый - это использование автоматизированных сборщиков данных, которые выводят сведения об EMV-полях в аккаунт в Telegram или на другие системы. Второй - использование средств переадресации APDU на удалённые устройства, скрытно спаренные со смартфоном жертвы. Третий - это атаки типа Ghost-tap, где HCE-ответы (host card emulation - эмуляция платёжных карт) переиначиваются таким образом, чтобы авторизовать нужные транзакции с платёжных точек в режиме реального времени. И, наконец, поддельные банковские приложения, которые устанавливают себя как основное средство обработки платежей в среде Android.

Приложения, распрстраняющие вредоносное ПО, часто выдают себя за клиент Google Pay и клиентские приложения ВТБ, «Тинькофф», Промсвязьбанка, Santander Bank, ING Bank, Bradesco Bank и т.д.

Пользователям настоятельно рекомендуется не скачивать и не устанавливать APK, относящиеся к платёжным системам откуда-либо, кроме Google Play или проверенных банковских сайтов, а также проверить уже установленные приложения на предмет подозрительных разрешений.

Адрес новости:
https://internet.cnews.ru/news/top/2025-11-01_vzryvnoj_rost_prilozhenij