Легальное мобильное приложение NFCGate стало опасным инструментом, используемым киберпреступниками для атак на клиентов российских банков. С момента первой атаки, зафиксированной в России в августе 2024 года, общий ущерб, нанесенный вредоносными версиями NFCGate, достиг 432 миллионов рублей. В среднем с января по март преступники успешно проводят 40 атак в день, в результате чего ущерб составляет в среднем 120 тысяч рублей.
Описание
Угроза NFCGate продолжает стремительно развиваться, каждый месяц появляются новые и более опасные модификации. Эти версии обходят антимошеннические решения и ограничения, позволяя атакующим маскироваться и красть деньги пользователей. Преступники используют функцию ретрансляции NFC-трафика, постоянно совершенствуя техники и улучшая само вредоносное ПО.
В январе 2025 года эксперты выпустили исследовательский отчет, описывающий преступное использование NFCGate и выявивший более 100 уникальных образцов вредоносного ПО для Android на базе NFCGate. Вскоре после выхода отчета киберпреступники начали использовать версию приложения, способную перехватывать SMS и push-уведомления. В феврале они представили комбинацию CraxsRAT и NFCGate, позволяющую удаленно перехватывать и передавать данные банковских карт на основе NFC без необходимости совершать звонок.
Примерно в это же время появилась новая «обратная» версия NFCGate, изменившая вектор передачи информации. Вместо того чтобы передавать данные NFC-карты жертвы на устройство злоумышленника в режиме реального времени, эта версия передает данные карты на устройство пользователя. Жертва неосознанно авторизует карту drop вместо своей карты при пополнении счета в банкомате, переводя средства преступникам.
Обратная схема атаки NFCGate предполагает социальную инженерию, использование вредоносного приложения, замаскированного под легитимное, и действия через банкомат. Однако новая разработка предназначена для мошеннических колл-центров. Мошенники направляют жертв к банкомату, чтобы те под различными предлогами зачислили деньги преступникам, минуя необходимость присутствия сообщников в банкомате. Эта схема требует минимальных разрешений на устройстве жертвы, что затрудняет ее обнаружение антивирусами и средствами обнаружения вредоносного ПО.
Значительное распространение NFCGate - 175 000 взломанных устройств в России по состоянию на март 2025 года - свидетельствует о его активном использовании киберпреступниками. «Обратная» версия NFCGate продается в даркнете по цене от 15 000 долларов или сдается в аренду за 5 000 долларов плюс процент от украденных денег. Только в марте 2025 года было подтверждено более 1000 атак на клиентов ведущих российских банков с использованием обратной версии NFCGate, в которых участвовали несколько сотен карт. Спрос и большие ожидания киберпреступников подчеркивают серьезность этой угрозы.
Индикаторы компрометации
MD5
- 01d9ef81fbeb65e84bbb9079b9facaf5
- ef4f1edf5bc27c851f2a3744008e5fef
SHA1
- 5c53bd8b07141b7b8ebd27d962db37ae647c811d
- a45ab87a4cc434724ffa6acdd3398477a99b1130
SHA256
- 967f1941a7f34ca65b715be19a35912211272e4236b8d678b644048fa5b84165
- e48d0789da2b82e851b5106f53d0367eb7dfabda5f9abc5c0fc8bd5347fb15e7
