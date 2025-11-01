Специалисты компании Zimperium предупреждают о росте количества NFC-малвари для Android в Восточной Европе. За последние месяцы исследователи обнаружили более 760 таких приложений, использующих NFC-атаки для кражи платежных данных пользователей.

Исследователи объясняют, что в отличие от традиционных банковских троянов, которые воруют логины и пароли через фишинговые оверлеи или получают удаленный доступ к устройству, NFC-малварь действует изощреннее. Она эксплуатирует встроенную в Android функцию Host Card Emulation (HCE), позволяющую эмулировать бесконтактные платежные карты.

Такие вредоносы действуют по-разному. Одни перехватывают EMV-поля и сливают данные в Telegram или на контролируемые атакующими серверы. Другие пересылают APDU-команды от POS-терминалов на удаленные серверы, которые формируют правильные ответы для авторизации платежей — все это происходит без физической карты и ведома владельца.

Также существуют более продвинутые варианты, использующие техники вроде Ghost Tap, где манипуляция HCE-ответами происходит в режиме реального времени, чтобы провести оплату на кассе.

Некоторые образцы такой малвари маскируются под PWA (Progressive web app) или фейковые банковские приложения и регистрируются в системе как дефолтный обработчик платежей на Android.

Напомним, что мы уже не раз рассказывали (1, 2, 3, 4, 5) о таких атаках, которые впервые попали в поле зрения ИБ-экспертов еще осенью 2023 года, когда стали появляться сообщения о взломах клиентов крупных чешских банков.

Изначально NFC-атаки строились вокруг злоупотребления упомянутым опенсорсным приложением NFCGate, которое в 2015 году создали студенты Дармштадтского технического университета. Оно предназначено для отладки протоколов передачи NFC-данных. Приложение поддерживает множество функций, но наибольший интерес для злоумышленников представляет захват NFC-трафика приложений и передача его на удаленное устройство, которым может выступать сервер или непосредственно смартфон атакующего.

Первые атаки с применением NFCGate в России были зафиксированы в августе 2024 года, и уже по итогам первого квартала 2025 года общий ущерб от использования вредоносных версий NFCGate составил 432 млн рублей. Как сообщали специалисты F6, каждый день с января по март преступники совершали в среднем по 40 успешных атак, и средняя сумма ущерба составила 120 000 рублей.

«То, что началось как несколько отдельных образцов [малвари], разрослось более чем до 760 вредоносных приложений. NFC-атаки не замедляются, а продолжают ускоряться», — отмечают эксперты Zimperium.

В своем отчете исследователи сообщили, что обнаружили более 70 управляющих серверов и площадок для распространения малвари, а также десятки Telegram-ботов и приватных каналов, с помощью которых атакующие координируют свои операции и получают украденные данные.

По словам экспертов, в основном NFC-малварь распространяется через фальшивые приложения, имитирующие Google Pay или мобильные клиенты крупных банков. В частности, злоумышленники эксплуатируют такие бренды, как Santander Bank, ВТБ, «Тинькофф Банк», Банк России, ING Bank, Bradesco Bank, Промсвязьбанк и другие. При этом отмечается, что визуально вредоносные приложения могут быть весьма убедительными.

Эксперты Zimperium дали пользователям Android несколько рекомендаций по защите: