Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Клиентов российских банков атакует вредоносное приложение SuperCard (http://txgate.io:443/showthread.php?t=51301515)

Artifact 06-18-2025 10:11 AM
<div id="post_message_797948">

Аналитики компании F6 <a href="https://www.f6.ru/blog/supercard/" target="_blank">зафиксировали </a>попытки атак на российских пользователей с применением приложения SuperCard — новой вредоносной модификации легитимной программы NFCGate.<br/>
<br/>
Напомним, что мы уже не раз рассказывали (<a href="https://xakep.ru/2024/08/23/ngate/" target="_blank">1</a>, <a href="https://xakep.ru/2024/12/27/ngate-russia/" target="_blank">2</a>, <a href="https://xakep.ru/2025/01/23/nfcgate-attacks/" target="_blank">3</a>, <a href="https://xakep.ru/2025/04/03/craxsrat-and-nfcgate/" target="_blank">4</a>) о таких атаках, которые впервые привлекли внимание ИБ-экспертов осенью 2023 года, когда стали появляться первые сообщения об атаках на клиентов крупных чешских банков.<br/>
<br/>
Эти NFC-атаки строятся вокруг злоупотребления упомянутым опенсорсным приложением NFCGate, которое еще в 2015 году создали студенты Дармштадтского технического университета. Оно предназначено для отладки протоколов передачи NFC-данных.<br/>
<br/>
Приложение поддерживает множество функций, но наибольший интерес для злоумышленников представляет захват NFC-трафика приложений и передача его на удаленное устройство, которым может выступать сервер или непосредственно смартфон атакующего. Обычно, используя социальную инженерию, потенциальную жертву убеждают в необходимости установки вредоносного APK-файла на устройство под видом полезной программы.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/522086/scheme-2-1.png"/><br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">

Схема классической атаки с использованием NFCGate

</td>
</tr>
</table>
</div><a href="https://xakep.ru/2024/12/27/ngate-russia/" target="_blank">Первые</a><a href="https://xakep.ru/2025/01/23/nfcgate-attacks/" target="_blank"> атаки</a> с применением NFCGate в России были зафиксированы в августе 2024 года.<br/>
<br/>
Как теперь сообщают специалисты F6, в мае 2025 года были обнаружены первые попытки атак на клиентов российских банков с использованием малвари SuperCard. Вредоносное приложение позволяет злоумышленникам похищать данные банковских карт через перехват NFC-трафика, чтобы впоследствии похитить средства со счетов пользователей.<br/>
<br/>
Об обнаружении MaaS-платформы (malware-as-a-service) SuperCard X весной текущего года <a href="https://xakep.ru/2025/04/21/supercard-x/" target="_blank">предупреждали </a>исследователи компании Cleafy, зафиксировавшие атаки в Италии. Эксперты полагали, что SuperCard X связана с китайскими хакерами и писали, что платформа рекламируется через Telegram-каналы, где клиентам также предлагается прямая поддержка.<br/>
<br/>
При этом в атаках были задействованы несколько образцов малвари, незначительно отличавшиеся друг от друга. То есть клиенты MaaS-платформы имели возможность создавать собственные сборки, адаптированные к региональной специфике и соответствующие другим потребностям.<br/>
<br/>
Как теперь рассказывают в F6, в апреле 2025 года они также обнаружили несколько Telegram-каналов на китайском языке, в которых предлагалась подписка на малварь Supercard. На тот момент SuperCard X поддерживал как минимум китайский и английский языки.<br/>
<br/>
На китайском выходили все публикации, работала служба поддержки и боты для покупки подписки, а на английском изредка появлялись уточняющие комментарии. Тогда малварь позиционировалась как решение для атак на пользователей крупных банков США, Австралии и Европы.<br/>
<br/>
В своем отчете F6 отмечает, что никаких ограничений на использование малвари в тех или иных странах установлено не было. Поэтому неудивительно, что между первым публичным упоминанием SuperCard и первой атакой в России прошло меньше месяца.<br/>
<br/>
Аналитики считают, что хакеры тестировали новую разновидность малвари в России. По их данным, по итогам первого квартала 2025 года общий ущерб российских пользователей от использования разных версий NFCGate составил 432 млн рублей, а число скомпрометированных Android-устройств, на которых была установлена малварь, превысило 175 000.<br/>
<br/>
Анализ нескольких образцов приложения SuperCard показал серьезные отличия, как в части функциональных возможностей, так и в структуре кода. К примеру, один из образцов был упакован с помощью Jiagu, а другой — способен получать не только NFC-трафик от жертвы, но и данные банковской карты, считанные с помощью отправки команд на ее EMV-чип.<br/>
<br/>
Предполагается, что причиной таких расхождений может быть то, что разработкой этих модификаций занимались разные хак-группы.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Среди всех угроз для клиентов российских банков вредоносные версии NFCGate развиваются самыми быстрыми темпами. Меньше чем за год арсенал злоумышленников, которые действуют против пользователей в России, использующих Android-устройства, расширился до множества модификаций – их число прибавляется почти каждую неделю. Значительные отличия между разными сборками указывают: разработчики криминальных решений непрерывно пересматривают и совершенствуют свои технологии, а организаторы преступных схем находятся в постоянном поиске новых инструментов. Причем используют как собственные разработки, так и заимствуют для атак на клиентов российских банков решения, которые криминал успешно применяет в других странах», – комментирует Дмитрий Ермаков, руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/06/18/supercard-russia/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 06:47 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.