Новые Android-вредоносы DevilNFC и NFCMultiPay: локальные группы перестали зависеть от китайских платформ

В начале 2026 года эксперты компании Cleafy выявили две ранее неизвестные семьи вредоносных программ для Android, которые активно используются для атак на клиентов европейских и латиноамериканских банков. Речь идёт о DevilNFC и NFCMultiPay. Обе семьи работают по принципу ретрансляции NFC (технология беспроводной передачи данных на близком расстоянии, используемая в банковских картах), но разработаны совершенно разными группами злоумышленников, не связанными ни общим кодом, ни инфраструктурой. Примечательно, что DevilNFC создан испаноязычными хакерами, а NFCMultiPay - португалоязычными (бразильскими). Это событие знаменует собой перелом в сфере угроз, связанных с NFC: ранее подобные инструменты поставлялись исключительно в рамках китайской модели "вредоносное ПО как услуга" (MaaS). Теперь локальные группы научились строить собственные наборы инструментов.

Описание

До 2025 года большинство атак с ретрансляцией NFC базировались на открытой исследовательской платформе NFCGate, разработанной в Техническом университете Дармштадта. Китайские операторы MaaS продавали доступ к готовым решениям, а покупатели лишь запускали кампании, не вникая в технические детали. Однако в этом году монополия рухнула. Как выяснили аналитики Cleafy, обе новые семьи несут явные признаки применения генеративного искусственного интеллекта при разработке. В DevilNFC обнаружены избыточно проработанные фишинговые шаблоны, а в NFCMultiPay - форматирование логов с использованием эмодзи, характерное для моделей LLM. Дополнительно исследование ESET в апреле 2026 года подтвердило наличие аналогичных признаков в новой версии вредоноса NGate, нацеленного на бразильских пользователей. Таким образом, входной барьер для создания функционального NFC-вредоноса резко снизился: теперь достаточно понимать задачу, иметь доступ к открытому фреймворку NFCGate и нецензурированной локальной LLM-модели, чтобы собрать работающее решение.

Технически семьи различаются по сложности. DevilNFC представляет собой более продвинутый вариант: единый APK-файл (установочный пакет Android) выступает одновременно в роли считывателя на устройстве жертвы и эмулятора карты на устройстве атакующего. Для перехвата NFC-трафика на системном уровне используется фреймворк Xposed, внедряющийся в процесс com.android.nfc. При этом на устройстве жертвы, которое обычно не рутировано, вредонос ведёт себя как пассивный считыватель - никаких подозрительных действий не видно. На рутированном устройстве атакующего тот же APK превращается в полноценный эмулятор карты благодаря динамической подгрузке библиотеки libnfcgate.so. После того как жертва подносит карту к телефону, вредонос с помощью режима Kiosk (блокировка устройства, скрытие системного интерфейса) запирает экран, показывает поддельный интерфейс банка и запрашивает PIN-код карты. Код немедленно уходит на сервер злоумышленника и в Telegram-канал, а ложное сообщение об ошибке вынуждает жертву держать карту ещё десять секунд - это продлевает окно для успешного завершения мошеннической транзакции.

NFCMultiPay, напротив, обходится без рутирования и нативного кода. Вся ретрансляция реализована на чистой Java: два телефона, облачный брокер и MQTT-протокол (лёгкий протокол обмена сообщениями для устройств с ограниченными ресурсами). Жертву направляют через поддельный интерфейс банка, где она вводит PIN и прикладывает карту. PIN публикуется в открытом виде в MQTT-топик, откуда его может забрать любой подключившийся мошенник. Примечательно, что в одной из версий NFCMultiPay внутри кода были обнаружены комментарии на упрощённом китайском языке, которые в более поздней сборке заменили на английские. Это указывает на то, что разработчики взяли чужой китайский модуль ретрансляции из утёкшего кода и построили вокруг него свою операционную оболочку. DevilNFC же полностью самостоятелен: ни одного китайского элемента, только испанские комментарии.

Обе семьи собирают PIN-код карты как обязательный этап атаки. После получения PIN злоумышленники могут не только совершать бесконтактные платежи, но и использовать карту в банкоматах и терминалах, требующих чип и PIN. Это существенно расширяет возможности мошенничества. Cleafy в своём отчёте подчёркивает, что появление двух независимых семей с одинаковыми возможностями подтверждает: ретрансляция NFC с кражей PIN стала новым стандартом для подобных атак.

Выводы экспертов неутешительны. Если раньше для создания подобных инструментов требовалось глубокое знание Android и доступа к закрытым платформам MaaS, то теперь порог входа резко упал. Открытые LLM-модели без фильтров безопасности и утечки кода вредоносов на публичных репозиториях делают создание функциональных зловредов доступным для локальных групп по всему миру. Уже сейчас испаноязычные и португалоязычные хакеры нацелились на Европу и Латинскую Америку. Можно ожидать, что в ближайшее время появятся новые семьи из других регионов, адаптированные под местные банки и языки. Банкам и разработчикам защитных решений необходимо пересмотреть модели обнаружения: привычные методы, ориентированные на китайские MaaS-платформы, могут не сработать против самодельных инструментов, созданных с помощью ИИ.