Киберпреступники используют связку CraxsRAT и NFCGate

Киберпреступники начали использовать связки Android-трояна CraxsRAT и приложения NFCGate, которые позволяют устанавливать на устройства клиентов банков вредоносную программу, при этом не совершая звонков, сообщает ведущий разработчик технологий для борьбы с киберпреступностью компания F6. Данный софт через NFC-модули может дистанционно перехватывать и передавать данные банковских карт.

Согласно данным F6, в первом квартале 2025 года количество устройств, на которых одновременно используются Android-троян CraxsRAT и вредоносный софт на основе легитимной программы NFCGate, увеличилось. В марте их насчитывалось более 180 тыс.

CraxsRAT представляет из себя многофункциональный Android-троян, который маскируется под легитимные приложения, а затем предоставляет мошенникам возможность удаленного управления. В феврале было зафиксировано, что количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 000.

NFCGate представляет из себя вредоносное приложение, которое просит пользователя приложить банковскую карту к NFC-модулю и ввести пин-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счета пользователя в банкомате. При помощи NFCGate злоумышленникам удалось похитить почти 200 млн рублей за первые два месяца 2025 года.

Если же изначально киберпреступники звонили жертве и под разными предлогами заставляли ее установить специальное мобильное приложение, то теперь они выбирают троян CraxsRAT для доставки NFCGate на устройства пользователей. Если пользователь случайно установит вредоносную программу, замаскированное под полезную, то мошенники получат полный доступ ко всем банковским приложениям, возможность перехватывать уведомления и коды подтверждения, а также обналичивать похищенные со счетов деньги.

Специалисты F6 сообщают, что чаще всего CraxsRAT и NFCGate попадают на устройства пользователей через социальные сети, например WhatsApp и Telegram. Мошенники рассылают вредоносные APK-файлы, замаскированные под фотоархивы, видеофайлы и различные приложения.

«Используя связку CraxsRAT и NFCGate, злоумышленники могут вывести деньги со счетов пользователя без единого звонка. Это открывает для преступников новые возможности как для операций по обналичиванию похищенных средств, так и для полного цикла мошенничества. Такая комбинация вредоносов позволяет получить полноценный доступ к мобильному устройству, включая приложения дистанционного банковского обслуживания. Злоумышленники могут перехватывать как уведомления и коды подтверждения от банка, так и авторотационные данные, у них появляется возможность прямого обналичивания средств с карты жертвы за счет перехвата NFC-трафика и компрометации данных карты», – сказал специалист по противодействию финансовому мошенничеству компании F6 Константин Гребенюк.

Чтобы защитить себя от киберпреступников, специалисты рекомендуют не общаться в мессенджерах с неизвестными контактами, не переходить по ссылкам из смс и сообщений в мессенджерах, не устанавливать приложения по ссылкам из смс, сообщений в мессенджерах, писем и подозрительных сайтов, а также не сообщать никому CVV и пин-коды банковских карт, логины и пароли для входа в онлайн-банк.

Если же банковская карта оказалась скомпрометирована, то ее необходимо сразу же заблокировать через горячую линию банка или официальное приложение.

Ранее сообщалось, что злоумышленники начали звонить гражданам, представляясь работниками Роскомнадзора и сообщая о взломе их личных кабинетов на портале «Госуслуги».