Приложение NFCGate помогло похитить 40 млн рублей

Компания F.A.C.C.T. обнаружила угрозу для клиентов российских банков. Речь идет об использовании легального приложения NFCGate. Софт, способный через NFC-модули перехватывать и передавать данные банковских карт, злоумышленники маскируют под приложения популярных госсервисов, Центрального банка России, Федеральной налоговой службы.

Так, за последние два месяца зафиксировано не менее 400 атак на клиентов ведущих российских банков, общая сумма ущерба оценивается в 40 млн рублей. Аналитики F.A.C.C.T. прогнозируют рост подобных кибератак на пользователей Android-устройств на 25-30% ежемесячно.

Напомним, что мобильное приложение NFCGate в 2015 году разработали в качестве учебного проекта студенты Дармштадтского технического университета (Германия). Программа, предназначенная для захвата, мониторинга и анализа NFC-трафика путем его перехвата и воспроизведения, свободно распространялась в интернете. Первое применение NFCGate в криминальных целях зафиксировали в ноябре 2023 года, а в августе 2024 года произошла первая атака на пользователей российских банков.

Атака на пользователей банковских карт проходит в два этапа. Вначале все выглядит, как рядовое телефонное мошенничество. Жертву под предлогом «защиты» банковской карты, взлома личного кабинета «Госуслуг», продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, требований безопасности, подтверждения личности убеждают в необходимости установки специального мобильного приложения. Внешне оно похоже на легитимное приложение банка или госструктуры, но на самом деле это — вредоносная программа на основе NFCGate.

Более того, злоумышленники могут установить NFCGate на устройство жертвы даже без ее ведома, используя трояны удаленного доступа, например, CraxRAT, активность которого в России и Беларуси также зарегистрирована летом прошлого года. Такие вредоносные программы распространяют, как правило, через мессенджеры в виде APK-файлов под видом обновлений легитимных приложений, а также фейковых приложений госсервисов, операторов связи и антивирусов.

После того, как приложение на основе NFCGate установлено на смартфоне жертвы, на устройство злоумышленника поступает сигнал о готовности к обмену данными. Вредоносная программа предлагает жертве пройти верификацию и для этого приложить банковскую карту к обратной стороне смартфона. Когда пользователь приложит карту к NFC-модулю, эти данные моментально передаются на смартфон злоумышленника.

Ранее редакция IT Speaker писала, что в начале 2025 год средняя стоимость хакерской атаки, которую совершают с использованием вируса-шифровальщика, составляет $20 тысяч. К такой сумме аналитики пришли, проанализировав более 20 тыс. объявлений на 40 площадках — крупных теневых форумах, маркетах и Telegram-каналах.