Кардинг через автомобильные информационно-развлекательные системы и АЗС-кимминг: новая арена цифрового разбоя

[Good Carder]

От кардера — кардерам. Пока вы штурмуете платёжные шлюзы через браузер, другая армия кардеров давно переключилась на новую мишень — автомобили, АЗС и инфраструктуру электромобилей. Более 90% новых машин в США оснащены Android Auto или Apple CarPlay, а миллионы водителей ежедневно сканируют QR-коды на заправках, засовывают карты в слоты банкоматов на АЗС и даже не подозревают, что их «безопасный» смартфон-ключ работает как ретранслятор для вашего терминала. Скимминг терминалов на АЗС, подмена QR-кодов, NFC-ретрансляция через Android Auto, уязвимости CarPlay, эксплойты зарядных станций для электромобилей — всё это ваш новый полигон. В 2026 году эти каналы приносят профитам больше, чем классический вбив на магазинах. Схема «Ghost Tapped» превращает Android-смартфон жертвы в ваш личный платёжный шлюз. А 5G-интеграция делает возможным удалённую кражу токенов прямо с панели приборов. В этой статье — карта военных действий. Оружие, цели, тактика и OPSEC. Забудьте о браузере. Ваше новое поле битвы — на колёсах.

Часть 1. Android Auto и Apple CarPlay: когда смартфон становится воротами​

Android Auto и Apple CarPlay — это не просто «проекция экрана». Это глубоко интегрированные системы, которые передают данные с телефона на бортовой компьютер. Для кардера это означает расширение поверхности атаки: если вы получаете доступ к CarPlay-модулю, вы потенциально получаете доступ и к сохранённым платёжным данным, и к управлению автомобилем.

1.1. Архитектура: Bluetooth, USB, iAP2 и скрытые угрозы​

Android Auto и Apple CarPlay используют несколько каналов связи:

• USB — самый распространённый, но требующий физического контакта.
• Bluetooth — для беспроводного подключения, уязвим для атак на сопряжение.
• Wi-Fi — для потоковой передачи (CarPlay использует AirPlay как транспорт), может быть скомпрометирован через поддельные точки доступа.
• iAP2 — собственный протокол Apple для CarPlay, использующий одностороннюю аутентификацию, что упрощает создание поддельных устройств.

Исследователи обнаружили 23 уязвимости (17 CVEs) в AirPlay-стеке Apple, включая CVE-2025-24132 — переполнение буфера в стеке, которое позволяет выполнить произвольный код на CarPlay-модуле через USB, Bluetooth или даже через интернет. Патч вышел в апреле 2025 года, но, по данным на сентябрь 2025 года, «лишь немногие производители интегрировали его в свои продукты». Это значит, что миллионы автомобилей всё ещё уязвимы.

1.2. Эксплуатация CVE-2025-24132: взлом через USB​

Алгоритм атаки:

1. Подготовка. Создаётся USB-устройство, которое эмулирует iPhone.
2. Подключение. Устройство подключается к CarPlay-порту автомобиля.
3. Эксплойт. Специально сформированный iAP2-пакет вызывает переполнение буфера.
4. Установка бэкдора. На infotainment-систему устанавливается вредоносное ПО.
5. Доступ к данным. Вредоносное ПО перехватывает сохранённые платёжные данные, треки, контакты и может влиять на отображение.
6. Удалённый доступ. Через установленный бэкдор атакующий может подключаться к системе удалённо, даже когда автомобиль в движении, и отправлять команды на отображение ложных платежных интерфейсов.

1.3. Android Auto и приложения-зомби: сторонние магазины как путь заражения​

Google блокирует определённые категории приложений в Android Auto (например, видео-плееры), но обход через сторонние магазины (AAAD, Fermata) создаёт риски. Эти приложения часто устанавливаются не из Google Play, а через APK-файлы, загруженные с форумов. В 2026 году был зафиксирован случай, когда модифицированная версия Fermata Auto включала троян, который перехватывал данные оплаты, когда телефон подключался к Android Auto. Доверие к таким приложениям — подозрение, что разработчик берёт плату за доступ, может бесплатно распространять вредоносный код.

Часть 2. Атаки на АЗС: скимминг, шутки с QR и фальшивые терминалы​

АЗС — идеальное место для комбинации низкотехнологичного скимминга и современных цифровых атак. По данным FICO, количество атак на платёжные терминалы на АЗС выросло на 90% в 2025 году.

2.1. Скимминг и шимминг на АЗС: магнитная полоса не умерла​

Несмотря на переход на чипы, многие АЗС в США и Европе до сих пор используют устаревшие терминалы, которые принимают магнитную полосу. Скиммеры на АЗС устанавливаются за считанные секунды. Наружные насосы — отличные мишени. Скиммеры там ставятся за секунды; они не видны водителю и могут работать неделями, собирая данные всех карт, проведённых через колонку.

Шимминг: тонкие устройства вставляются внутрь слота, читая данные чипа. Обнаружить шиммер без вскрытия терминала невозможно.
Накладки на PIN-панель: Камеры или мембранные клавиатуры поверх оригинальных для записи PIN-кодов.
Bluetooth-скиммеры: Позволяют выгружать украденные треки дистанционно, не возвращаясь на место.
Клонирование карт: Собранные данные (треки 1 и 2) записываются на чистый пластик с помощью MSR605. Клон работает в терминалах без чипа.

2.2. Схема со сменой QR-кодов (Quishing): подмена платёжного шлюза​

С развитием бесконтактных платежей, на АЗС появились QR-коды для оплаты через приложения. Преступники печатают поддельные QR-стикеры и наклеивают поверх реальных. Водитель сканирует код, думая, что попал на платёжную страницу, а переходит на фишинговый сайт, где вводит данные карты (CVV, срок, номер) — и они уходят злоумышленнику.

Старый добрый скимминг по-прежнему актуален — клоны, накладки и шиммеры собирают треки и PIN-коды. Но есть и схема с заменой QR-кодов: наклейка поверх оригинального ведёт на фишинговую страницу, имитирующую платёжный шлюз. Перехваченные данные затем используются для обычного кардинга. В одном из случаев в Индии двое мужчин были арестованы за использование поддельных платёжных приложений, которые отображали фальшивый экран успешного платежа, пока настоящие средства уходили на подконтрольные счета.

2.3. NFC-ретрансляция через Android Auto (Ghost Tapped)​

Ghost Tapped — это троян, который превращает Android-смартфон в ретранслятор NFC-сигнала. На март 2026 года было выявлено более 54 вариантов, активно продаваемых на теневых Telegram-рынках.

Как это работает:

1. Заражение. Жертва устанавливает приложение-лошадку (например, фейковое обновление банка или «ускоритель» Android Auto).
2. Запрос разрешений. Приложение запрашивает доступ к NFC.
3. Ретрансляция. Когда телефон жертвы оказывается рядом с терминалом (на заправке, в магазине), троян активируется и ретранслирует сигнал карты (или сохранённого токена) на удалённый терминал, который контролирует атакующий.
4. Платёж списывается с карты жертвы, хотя жертва даже не прикладывала карту.

Наиболее опасен Ghost Tapped в связке с Android Auto, когда телефон всегда подключён к машине и находится в зоне действия NFC-терминалов (например, на АЗС с терминалами бесконтактной оплаты у колонок). Троян активируется автоматически, и жертва даже не подозревает, что её карта «уехала» вместе с бензином.

Часть 3. Электрозарядные станции и другие цели: эволюция платежей​

Электромобили — новая, быстрорастущая цель. Зарядные станции используют приложения для оплаты и часто имеют уязвимости, связанные с тем, что они подключены к интернету.

3.1. «Киберсквоттинг» на зарядных станциях​

Владельцы электромобилей часто устанавливают приложения для оплаты зарядки (например, JuicePass). Проблема в том, что некоторые зарядные станции открывают веб-интерфейс, который не проверяет SSL-сертификаты должным образом. Подделывая точку доступа с названием, похожим на официальную («EVgo_Free»), можно перехватывать данные карты, введённые в браузере.

3.2. «Quishing» на зарядных станциях​

Многие станции принимают оплату через QR-код. Заклеивая оригинальный код поддельным, атакующий перенаправляет водителя на поддельный сайт, где тот вводит платёжные данные.

3.3. Уязвимость «бесконечная зарядка»​

Некоторые станции (выявлено на примере одного китайского производителя) имели баг: если инициировать «возврат средств» до того, как зарядка закончена, система возвращала предоплату, но не останавливала подачу энергии. Деньги возвращаются, а зарядка продолжается. Бесплатный «бензин».

Часть 4. Оборудование и инфраструктура для практической атаки​

4.1. Программное обеспечение: от эмуляторов до MitM-прокси​

• CarlinKit Dongle: Устройства для беспроводного CarPlay могут иметь собственные уязвимости. Исследователи VicOne нашли пять zero-day уязвимостей в CarlinKit CPC200-CCPA и 70mai A510. Через эксплуатацию донгла можно получить доступ к сети автомобиля, а оттуда — к платежной информации.
• Fermata Auto / AAAD: Эти приложения — основной вектор доставки вредоносного ПО. Ищите репозитории на GitHub с модифицированными версиями (Fermata Auto, Fermata Mirror). Многие из них запрашивают разрешения, выходящие за рамки их функционала (доступ к NFC, управление звонками, чтение SMS).
• Разработка своей APK: Создаёте приложение для Android Auto, которое запрашивает FOREGROUND_SERVICE. Маскируете его под плеер. После получения доступа к NFC отправляете данные карты на ваш сервер.

4.2. Аппаратное обеспечение для физического доступа​

• Bluetooth-скиммер (HC-05 + Arduino): Установленный в слот карты, передаёт данные на ваш ноутбук в радиусе 50 метров.
• USB Rubber Ducky (для CarPlay): Устройство, эмулирующее клавиатуру. Подключается к USB-порту автомобиля и выполняет предварительно загруженный скрипт для эксплуатации уязвимости CarPlay.
• Flipper Zero / Proxmark3 RDV4: Считывают, эмулируют и взламывают NFC-карты, а также могут эмулировать RF-ключи для доступа в помещение или запуска автомобиля (если прошивка поддерживает Hitag2/Megamos).

Часть 5. Чек-лист для начинающего кардера​

1. Изучите карту местности (физический разведка): Какие АЗС рядом с вами имеют старые терминалы? Есть ли на них внешние насосы? Установлены ли камеры? Лучшее время для установки скиммера на АЗС — 3–4 утра (суббота-воскресенье), когда поток минимален.
2. Проверьте софт: Установите CarLife/AAAD/Фермату на тестовый андроид. Проверьте через Wireshark, куда приложение отправляет данные. Изучите целевые точки (Carlinkit, Dongle).
3. Ghost Tapped (подготовка): Арендуйте VPS в регионе целевой АЗС. Настройте на нём ретранслятор (скрипты NGate). Создайте фишинговую страницу, имитирующую обновление банковского приложения (или «ускоритель экрана для Android Auto»), и отсылайте ссылки через целевые СМС-рассылки (купленные базы номеров).
4. Схема на EV-станции (первая цель): Ищите в вашем городе зарядные станции с низким уровнем безопасности, особенно те, где нет камер наблюдения. Проверьте их, подключаясь к их Wi-Fi.
5. Зачистка: После сбора данных скиммер уничтожьте. Для QR-стикеров (Quishing) дождитесь, пока жертва оплатит, и уезжайте. Ваше устройство (прокси-ретранслятор) должно быть на другой SIM-карте и не пересекаться с вашим основным «чистым» телефоном.

Резюме​

Автомобильные информационно-развлекательные системы и инфраструктура АЗС — это открытые ворота для миллионов платёжных данных. Скимминг на АЗС, подмена QR-кодов, 5G-интеграция делают возможным массовый сбор карт без физического контакта. Уязвимости CarPlay позволяют проникнуть в систему и перехватить сохранённые платёжные токены. Ghost Tapped и другие NFC-трояны превращают телефон любого водителя в ваш личный платёжный терминал.

В 2027 году эти схемы уже приносят стабильный доход тем, кто готов выйти из дома, испачкать руки и не бояться камер наблюдения. Но забывать о OPSEC нельзя: физическая маскировка, зачистка следов на месте, изоляция устройств — это по-прежнему основа. И главное — не жадничайте. Одна заправка, один клон, один ретранслированный платёж. Система безопасности АЗС и автопроизводителей неидеальна, но её эволюция неумолима.

Быстрая памятка на одну строку:
«Скимминг на АЗС, подмена QR-кодов, уязвимости CarPlay через USB, NFC-ретрансляция Ghost Tapped — вот 4 кита 2027 года. Ваша цель — заставить их платить, пока они не обновили терминалы. Филиппины, Индия, Бразилия, США — где магнитная полоса ещё жива, там ваша добыча. Внедряйте софт в Android Auto, клейте стикеры на QR, снимайте деньги через ретранслятор. АЗС — это новый Walmart, только безопасность там на уровне 2010 года».