Ограбление по-итальянски: клиентов российских банков впервые пытались атаковать вредоносным приложением SuperCard

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, зафиксировала первые попытки атак на пользователей в России, в которых использовалось приложение SuperCard — новая вредоносная модификация легитимной программы NFCGate. Весной 2025 года SuperCard использовалась в атаках на клиентов европейских банков, а меньше чем через месяц её протестировали в России.

В мае 2025 года аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 зафиксировали первые попытки атак на клиентов российских банков с использованием вредоносного программного обеспечения (ВПО) SuperCard. Это приложение позволяет злоумышленникам похищать данные банковских карт путём перехвата NFC-трафика для последующего хищения денег с банковских счетов пользователей.

Незадолго до этого, в апреле 2025-го, итальянская компания Cleafy сообщила об обнаружении MaaS-платформы (malware-as-a-service) SuperCard X, через которую распространяли это вредоносное ПО. Первые атаки с использованием SuperCard исследователи Cleafy зафиксировали в Италии.

Атаки, о которых рассказала Cleafy, аналогичны некоторым из тех, что аналитики F6 описали в первом отчёте об использовании NFCGate в криминальных целях в январе 2025 года и последующих публикациях. Используя приёмы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы.

Вредоносные версии NFCGate предлагали к продаже через даркнет и раньше. Такие примеры наша компания приводила в апрельском исследовании, посвящённом «обратной» версии NFCGate. Однако в случае SuperCard впервые продажа вредоносного приложения с таким функционалом производилась с рекламой через Telegram-каналы и сервисной поддержкой клиентов.

Тогда же, в апреле 2025-го, аналитики департамента киберразведки (Threat Intelligence) F6 обнаружили несколько Telegram-каналов на китайском языке, в которых предлагалась подписка на ВПО Supercard. На тот момент специалисты F6 обнаружили, что SuperCard Х поддерживал как минимум китайский и английский языки. На китайском выходили все публикации, работала служба поддержки и боты для покупки подписки, на английском изредка появлялись уточняющие комментарии. Распространялось вредоносное ПО для атак на пользователей крупных банков США, Австралии и Европы.

Никаких ограничений на использование вредоносного ПО в тех или иных странах установлено не было. Ответ на вопрос, когда и как активно киберпреступники начнут применять SuperCard против клиентов российских банков, не заставил себя ждать. Между первым публичным упоминанием вредоносного приложения SuperCard в международном инфополе и первой попыткой атаки с его применением в России прошло меньше месяца.

Аналитики департамента Fraud Protection F6 считают, что киберпреступники тестировали новую разновидность ВПО в России. По такой модели злоумышленники начинали применять в нашей стране первые вредоносные версии NFCGate. По итогам первого квартала 2025 года общий ущерб российских пользователей от использования всех версий NFCGate составил 432 млн рублей, а число скомпрометированных Android-устройств, на которых было установлено такое ВПО, превысило 175 тыс.

Чтобы разобраться, как действует SuperCard, насколько он отличается от уже известных вредоносных модификаций NFCGate, эксперты F6 исследовали семплы нового ВПО. По результатам анализа нескольких образцов приложения Supercard были выявлены их серьезные отличия как в части функциональных возможностей, так и в структуре кода. Вероятная причина таких расхождений – в том, что разработкой исследованных модификаций занимались разные группы злоумышленников. Итоги исследования, индикаторы – в новом блоге на сайте F6.

«Среди всех угроз для клиентов российских банков вредоносные версии NFCGate развиваются самыми быстрыми темпами. Меньше чем за год арсенал злоумышленников, которые действуют против пользователей в России, использующих Android-устройства, расширился до множества модификаций – их число прибавляется почти каждую неделю. Значительные отличия между разными сборками указывают: разработчики криминальных решений непрерывно пересматривают и совершенствуют свои технологии, а организаторы преступных схем находятся в постоянном поиске новых инструментов. Причём используют как собственные разработки, так и заимствуют для атак на клиентов российских банков решения, которые криминал успешно применяет в других странах».

Дмитрий Ермаков

Руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6

Специалисты F6 подчеркивают: для защиты от SuperCard и минимизации рисков, связанных с этим ВПО, достаточно соблюдения тех же рекомендаций, что и для защиты от уже известных вредоносных модификаций NFCGate.

Рекомендации специалистов F6 для пользователей

• Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
• Не переходите по ссылкам из смс и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.
• Не устанавливайте приложения по рекомендациям незнакомцев, а также по ссылкам из смс, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay. Перед установкой обязательно проверяйте отзывы о приложении, обращая особое внимание на негативные отзывы – это поможет определить фейковые и потенциально опасные программы.
• Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
• Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.
• Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.
• Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.
• Для защиты своего устройства от известных версий NFCGate:

1. Проверьте в настройках устройства, какие приложения имеют разрешение на управление модулем NFC. Если на устройстве вы обнаружили подозрительное приложение, имеющее такое разрешение, но вы не знаете, для чего оно вам нужно, вы не устанавливали его либо установили по рекомендации неизвестных, рекомендуем удалить такое приложение.
2. Проверьте, какие приложения имеют доступ к платежной системе устройства. Если в качестве платежной системы по умолчанию выбрано подозрительное приложение, которое вы не устанавливали либо установили по рекомендации неизвестных, функционал которого вам не известен, также рекомендуем удалить такое приложение.

Рекомендации специалистов F6 для подразделений информационной безопасности банков

• При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту.
• Учитывать данные геолокации пользователей.
• Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
• Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.

Например, для оценки риска транзакции и проверки получателя (KYC – know your customer) модули решения F6 Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.