По информации исследователей F6 (бывшая FACCT), стремительно растет количество атак Android-малвари, злоупотребляющей возможностями опенсорсного приложения NFCGate. За последний месяц число подтвержденных атак увеличилось на 80%, средняя сумма ущерба выросла вдвое, а общая сумма ущерба – более чем в три раза и составила около 150 млн рублей.
Исследователи предупреждают, что сейчас в России насчитывается около 114 000 скомпрометированных Android-устройств, на которых установлена малварь, способная через NFC-модули перехватывать и передавать данные банковских карт. Такие вредоносы маскируются под приложения банков, госсервисов, мобильных операторов и даже популярных антивирусов.
Напомним, что мы уже не раз рассказывали (1, 2, 3) о банковском трояне NGate, который впервые попал в поле зрения ИБ-экспертов осенью 2023 года, когда стали появляться сообщения об атаках на клиентов крупных чешских банков.
NGate представляет собой вредоносную модификацию опенсорсного приложения NFCGate, которое в 2015 году создали студенты Дармштадтского технического университета. Оно предназначено для отладки протоколов передачи NFC-данных. Приложение поддерживает множество функций, но наибольший интерес для злоумышленников представляет захват NFC-трафика приложений и передача его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон атакующего.
Еще в конце 2024 года специалисты «ДокторВеб» предупреждали о том, что банкер уже несколько месяцев атакует российских пользователей. Преступники модифицировали исходный код NFCGate, добавив к нему интерфейсы, стилизованные под финансовые организации, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет хакерам удаленно получать номер карты и срок ее действия.
Месяц назад аналитики FACCT подсчитали, что в декабре 2024 – январе 2025 года было зафиксировано не менее 400 атак на клиентов российских банков, и средняя сумма списания составляла около 100 000 рублей.
Тогда специалисты обнаружили более 100 уникальных образцов такой малвари, замаскированной под приложения популярных госсервисов, ЦБ РФ, Федеральной налоговой службы и так далее. Названия фейковых приложений должны вызывать доверие пользователя: «Защита карт ЦБ РФ», «ЦБРезерв+», «Госуслуги Верификация», «Сертификат Безопасности».
Как теперь сообщают в F6, после новогодних каникул активность злоумышленников, использующих NFCGate, стала нарастать. Так, с середины января по середину февраля число подтвержденных атак увеличилось на 80%, а средняя сумма ущерба увеличилась вдвое — с 100 000 до 200 000 рублей.
Кроме того, за прошедший месяц список мобильных приложений, под которые злоумышленники маскируют малварь, заметно расширился. К приложениям банков, госсервисов и мобильных операторов добавились программы для видеосвязи, бесконтактных платежей и популярные антивирусы.
По данным руководителя отдела аналитики данных Fraud Protection компании F6 Александры Радченко, сейчас злоумышленники действуют двумя путями для установки вредоноса на устройство пользователя.
Первый – с использованием телефонного мошенничества и приемов социальной инженерии, когда пользователь сам устанавливает малварь с фишингового сайта. Например, с начала 2025 года активно применяется сценарий, при котором мошенник под видом представителя банка связывается с пользователем через Telegram или WhatsApp и предлагает более выгодные условия от банка или уникальный продукт. Пользователю присылают ссылку на фишинговую страницу, на которой нужно ввести персональные данные входа в личный кабинет онлайн-банка, а затем скачать вредоносное мобильное приложение.
Второй способ – установка софта с NFCGate на устройство жертвы без ее ведома. Для этого применяются трояны удаленного доступа (например, CraxRAT). Обычно такие вредоносы распространяют через мессенджеры в виде APK-файлов под видом обновлений легитимных приложений, а также фейковых антивирусов, приложений госсервисов и операторов связи.
Аналитики прогнозируют, что при отсутствии эффективного централизованного противодействия новой схеме мошенничества волна атак на клиентов российских банков продолжит расти.
«С учетом особенностей платформы Android и относительной простотой распространения такого ВПО, как NFCGate и CraxRAT, мы ожидаем значительный рост числа атак с использованием этой мошеннической схемы. Киберпреступники внимательно следят за развитием антифрод-решений и оперативно адаптируют свои техники для обхода ограничений. Для этого активно применяются приемы социальной инженерии, создаются фишинговые ресурсы, имитирующие приложения дистанционного банковского обслуживания популярных банков. Само ВПО разрабатывается как готовый сервис для мошеннических колл-центров. Также мошенники могут использовать технологию NFCGate для скиминговых (шиминговых) атак», — предупреждает Дмитрий Ермаков, руководитель департамента противодействия финансовому мошенничеству компании F6.
