"Пожалуйста, приложите карту и введите PIN". Как вежливый зловред обворовывает пользователей их же руками

Вредоносная кампания, маскирующаяся под обновление банковского приложения, привела к появлению нового Android-зловреда, ориентированного на кражу данных банковских карт через NFC. Атака начинается с фишингового сайта, оформленного под итальянскую версию Deutsche Bank, где пользователя просят ввести номер телефона, а затем предлагают установить «обновление» приложения в виде APK-файла.

Загружаемое приложение с именем «deutsche.apk» после установки запускает поддельную процедуру «проверки карты». Пользователю предлагается поднести карту к смартфону, удерживать её рядом во время «аутентификации», а затем ввести PIN-код. В реальности программа считывает данные карты по NFC через стандарт ISO-DEP и формирует набор информации, включающий номер карты, тип, метку и срок действия, после чего отправляет эти сведения на удалённый сервер.

Команда D3Lab, проанализировавшая приложение, выявила передачу данных через WebSocket-соединение на удалённый узел, адрес которого скрыт с помощью обфускации строк. Внутреннее устройство кода, структура пакетов и используемые обозначения позволили отнести вредонос к новому семейству, получившему название NFCShare. Это имя отражает его основную функцию — передачу считанной по NFC информации на внешние ресурсы.

Отчёт также указывает на возможную связь инфраструктуры атаки с ранее известными вредоносными кампаниями. Используемые методы маскировки, элементы китайского языка в коде и совпадения по сетевой инфраструктуре сближают NFCShare с другими мобильными троянами, применяющими NFC-релейные схемы для проведения мошеннических операций.

В результате жертва фактически сама передаёт злоумышленникам всё необходимое для несанкционированных транзакций, включая PIN-код, считая происходящее официальной проверкой безопасности.