$23 000 украдены через Apple Pay: Android-приложение из Китая взломало бесконтактные покупки

В Теннесси и Калифорнии арестованы китайские граждане, подозреваемые в использовании новой схемы бесконтактного мошенничества (tap-to-pay) с помощью мобильных кошельков. Власти указывают, что кошельки создавались через онлайн-фишинг, а для транзакций использовалось специальное Android-приложение, передающее сигнал от устройств, находящихся в Китае.

В Ноксвилле полиция арестовала 11 человек, которые скупали подарочные карты на десятки тысяч долларов в местных магазинах. Все покупки совершались с использованием мобильных кошельков, к которым были привязаны украденные данные банковских карт. Представители офиса шерифа округа Нокс заявили, что это первые аресты по такому типу мошенничества в США.

По словам заместителя шерифа Берни Лайона, подозреваемые перемещались по всей стране, совершая многочисленные покупки с разных карт. В ходе рейда у них изъяты подарочные карты на сумму свыше $23 000, купленные на данные ничего не подозревающих жертв. Он также подтвердил, что «мошенники использовали Android-устройства для проведения транзакций через Apple Pay» с крадеными или скомпрометированными картами.

Точные детали работы схемы не раскрываются, поскольку расследование продолжается. Однако специалисты по кибербезопасности отмечают, что таких сценариев почти не бывает — Android-устройства обычно не взаимодействуют с Apple Pay, если только на них не установлено кастомное ПО. Такое приложение под названием Z-NFC уже упоминалось ранее в материалах о китайских фишинговых группировках, связанных с индустрией кражи данных банковских карт.

Суть схемы начинается с фишинга: жертвы получают сообщения якобы от почтовых служб или операторов платных дорог с требованием уплаты небольшой суммы. Эти сообщения рассылаются не через обычные SMS, а через iMessage и RCS — каналы, позволяющие обойти фильтры операторов. Введённые данные карт тут же используются, чтобы отправить в банк запрос на привязку карты к новому мобильному кошельку. Банк присылает одноразовый код подтверждения, и если жертва его вводит, карта оказывается в полном распоряжении мошенников.

Каждое устройство может содержать по 5–10 таких кошельков. Эти телефоны затем продаются оптом через Telegram. Эксперты подтверждают существование Android-приложения Z-NFC, которое способно удалённо эмулировать транзакции: пользователь подносит телефон к терминалу, а приложение передаёт сигнал на устройство в Китае, где и происходит настоящая передача данных. Это программное обеспечение продаётся по $500 в месяц, включая круглосуточную техподдержку.

16 марта телеканал ABC10 сообщил о похожем инциденте в Сакраменто: двое граждан Китая пытались использовать приложение для покупки подарочных карт в Target, перебирая более 80 украденных карт. Им удалось купить карт на $1 400, несмотря на то что большинство транзакций было отклонено. После ареста они признались, что получали $250 в день за такие операции.

CBS News добавил , что один из мужчин попытался использовать 42 карты — 32 из них были отклонены, но ему всё же удалось потратить $855. Его напарник пробовал 48 карт, из которых успешно сработали 11, позволив ему потратить ещё $633.

По мнению экспертов, частые отказы связаны с тем, что банки стали лучше распознавать подобные схемы или что карты уже были помечены как подозрительные. Иногда таких «операторов» просто отправляют «в поле», чтобы проверить, какие карты ещё работают.

Исполнителей для таких операций мошенники активно ищут через соцсети, включая TikTok. В Telegram-каналах, связанных с фишингом, процесс организован вручную: фишинговые сайты обслуживаются операторами в реальном времени, пока ведётся рассылка. Эти группы используют стойки с десятками iPhone и Android-смартфонов, с которых одновременно отправляются сообщения и обрабатываются ответы. Это позволяет вовремя получить и применить одноразовый код — ведь срок его действия ограничен всего несколькими минутами.