Rośnie liczba trojanów bankowych kradnących środki klientów za pomocą NFC

CSIRT KNF poinformował w swoich mediach społecznościowych o odkryciu trojana bankowego podszywającego się pod aplikację SGB-Bank S.A.

Złośliwe oprogramowanie dystrybuowane jest na systemy Android, a jego celem jest kradzież środków z kont klientów banku. 

Zgodnie z ustaleniami CSIRT KNF wektorem ataku jest wiadomość (SMS lub e-mail) z linkiem do pobrania fałszywej aplikacji spoza oficjalnego sklepu. Po instalacji program wymaga przyłożenia karty płatniczej do NFC w telefonie. 

Jednocześnie firma Zimperium poinformowała o wzroście zagrożenia złośliwym oprogramowaniem wykorzystującym technologię NFC na urządzeniach mobilnych. Od kwietnia 2024 roku badacze wykryli ponad 760 złośliwych aplikacji w środowisku rzeczywistym, a podczas monitoringu kampanii cyberprzestępców zidentyfikowano:

• ponad 70 serwerów command and control (C2) oraz źródeł dystrybucji,
• dziesiątki botów i prywatnych kanałów Telegram wykorzystywanych przez operatorów do wykradania danych i koordynacji działań,
• 20 instytucji – głównie rosyjskie banki i instytucje finansowe, ale również organizacje w Brazylii, Polsce, Czechach i na Słowacji pod które podszywali się cyberzbóje,
• setki złośliwych próbek,
• wiele wariantów złośliwego oprogramowania wykorzystujących funkcjonalność NFC, ukrywających się pod różnymi nazwami marek.

Co ciekawe, choć wykryte przez badaczy próbki złośliwego oprogramowania mają podobne cele, ich metody działania znacznie się różnią. Niektóre aplikacje działają jako narzędzia do skanowania i zbliżeniowego odczytu danych. W takich przypadkach jedna aplikacja służy do wyciągania danych z karty, a inna wykorzystuje system Point of Sale (POS), by sfinalizować transakcję.

Inne próbki są natomiast zaprojektowane wyłącznie do zbierania danych z kart i przesyłania ich do wyznaczonego kanału w Telegramie. W tych przypadkach cyberprzestępcy otrzymują automatyczne wiadomości dla każdego podłączonego urządzenia, zawierające takie informacje jak identyfikatory urządzenia, numery kart, daty ważności i inne pola EMV (Europay, Mastercard i Visa). Wiadomości te są następnie publikowane w prywatnych kanałach na Telegramie.

Podobną sprawę z polskiego podwórka opisywaliśmy na sekuraku w lutym 2025 r. Wtedy dotyczyła ona PKO BP ale wykorzystane techniki są takie same, więc i metody ochrony pozostają niezmienne:

• Przede wszystkim nie instalować apek z podejrzanych źródeł. Warto sprawdzić linka do odpowiedniego sklepu na stronie swojego banku.
• Jeśli appka bankowa prosi o jakąś nietypową aktywność (np. podanie PESELu, hasła do bankowości, czy jak w tym przypadku numeru PIN do karty + przyłożenia karty do telefonu) – nie podawać danych, zadzwonić do swojego banku i upewnić się, czy takie działanie powinno mieć miejsce w aplikacji.

Być na bieżąco z informacjami o kampaniach phishingowych prowadzonych przez cyberzbójów i ostrzegać swoich bliskich o aktualnych zagrożeniach.

~Natalia Idźkowska