Призрачный платеж: китайские мошенники превратили Android-смартфоны в инструменты для кражи денег с банковских карт

Механика атаки и масштабы угрозы

В основе схемы лежит использование двух типов приложений: «ридер» (reader), который устанавливается на устройство жертвы для считывания данных карты, и «таппер» (tapper), установленный на устройство преступника для проведения транзакций. Жертв обманом заставляют установить вредоносный APK-файл через фишинговые SMS (смишинг) или телефонные звонки (вишинг) и приложить свою банковскую карту к смартфону. После этого данные карты через управляемый злоумышленниками командный сервер (C2, Command and Control) передаются на устройство мошенника.

 

Затем преступники используют нелегально приобретенные POS-терминалы для обналичивания средств. Только по данным одного из каналов продажи таких терминалов в Telegram, с ноября 2024 по август 2025 года было зафиксировано мошеннических операций на сумму не менее 355 000 долларов. В альтернативном сценарии скомпрометированные карты добавляются в мобильные кошельки, которые затем используются сетями обналичивания (мулами) по всему миру для покупок в физических магазинах.

Экосистема вредоносных приложений

Исследователи Group-IB выделили трех основных поставщиков подобного ПО в китайских киберпреступных сообществах Telegram: TX-NFC, X-NFC и NFU Pay. Их каналы насчитывают тысячи подписчиков. Приложения продаются по подписке: например, доступ к TX-NFC стоит от 45 долларов за один день до 1050 долларов за три месяца.

Все приложения требуют разрешений на доступ к NFC, интернету и возможность работы в фоновом режиме. Их основная функциональность едина, хотя интерфейсы и некоторые особенности могут отличаться. Например, X-NFC и NFU Pay позволяют одному устройству работать как в режиме ридера, так и в режиме таппера. Анализ кода показал, что многие из этих приложений основаны на открытом проекте NFCProxy с GitHub, который был модифицирован в преступных целях.

Глобальная реакция и аресты

Проблема уже привлекла внимание правоохранительных органов по всему миру. В марте 2024 года в Праге был задержан человек, снимавший деньги в банкоматах без физической карты. В ноябре 2024 года в Сингапуре задержали пять человек, совершавших покупки с помощью смартфонов. В марте 2025 года в штате Теннесси, США, были арестованы 11 граждан Китая, покупавших подарочные карты на крупные суммы с использованием Android-приложений. Кроме того, о подобных схемах предупреждали ассоциации банков США и финансовые организации в Китае.

Рекомендации по защите

Финансовым институтам эксперты рекомендуют усиливать обучение клиентов, внедрять системы мониторинга мошенничества (Fraud Protection) для обнаружения вредоносных приложений и подозрительных транзакций, а также ужесточать проверки торговых точек (KYC, Know Your Customer). Физическим лицам следует проявлять крайнюю осторожность с сообщениями и звонками от неизвестных номеров, особенно касающимися финансов. Нельзя переходить по сомнительным ссылкам и устанавливать приложения из неофициальных источников. Также важно регулярно проверять настройки и выписки по банковским картам.

Угроза продолжает развиваться: с мая 2024 по декабрь 2025 года Group-IB зафиксировала устойчивый рост числа образцов такого вредоносного ПО. Появление новых вариантов при сохранении активности старых указывает на растущий интерес преступников к этой технологии. Схема «Ghost Tap» наглядно демонстрирует, как легитимные и удобные технологии, такие как бесконтактные платежи, могут быть извращены в руках киберпреступников, требуя повышенной бдительности как от финансового сектора, так и от обычных пользователей.

Domains

• apk.nfu20251021.win
• app.nfu1010.com
• nfc.rc8820.com
• txnfc.com
• xxnfc.com

MD5

• 05f7edd9dab87a1d44cf5472647dea83
• 0823f249e7a1fa3005dd51abdf1a247e
• 0b74b909adfadbb90808352a3c694b9c
• 12521a556512e0ce26249a1fdf466075
• 12b7c73ede31313bf7459867a1f292aa
• 142818af6913b5bdb9bff3079b54ef86
• 1824d0a6a37fb08d35f2463cc413adac
• 28029b63be994adf7c2b24de9a0010ac
• 283b3a71d1bace45dce1cbed812cbd55
• 2c824e96e434646aa383afddc11f0562
• 2d91d95476d7392bdcbd4cf3b520b46c
• 2f59040e763a1556259a1929759bd695
• 35dd14589f7b11ece671377f1c5836d6
• 389ac47a928a625b0cea82fadc138b44
• 38c559a701a15da5512c720f047b23a6
• 3a22cf5cebbfe2094fed3b01c91f518f
• 3dd93ca08bfa1bc25f0e5c66cd8cd4bc
• 45adbdf187bb7d19088a5de8f43444a6
• 472ed74ab3454f6571f4f9889f9d5b86
• 49cfbd21c8f9a985ddea15c47bb267e4
• 49f91198715119d68f2f5da98b77cfa9
• 4d4bde78de99e228dfd871e57f72c4b3
• 4e57c1e8f07a2187224f00abf7b8fce0
• 4f6fd902f7bfbf242bd9ed73dcc0c400
• 58244d7a24eb067628460a69d978e64f
• 58fedd5ade8b7c1417c2bfb2aa0815df
• 5e43e0750854baea6dcc22d7ba546435
• 5f11bb9e5e2be2a1c8243777a192c95f
• 6295e7bc410db98baa395d21b0bd56d6
• 65a7a66871619313853102fe42f8ea29
• 68bdf29eea8b4270c10b880d34e57024
• 6a572f343635e7a26445c72b55a4d9f1
• 7ffe4a86e435275af888c0c7c2512033
• 80128a8e5e9e42db727848ef8d9c9024
• 8fec4fd0542d43db5ef44e220863f4e1
• 921cc0aeccfc1a6de065055d21b6b8a7
• 96345d5bd63db21739db999d6f3dd28a
• 978b6a611488de8b9c22546300c92cb8
• a4c529428b2a83a0a2ce95b04787d191
• b284adf3760bfcd792f5b1edcdc3f784
• bbaf80ab7933ad19e55442e3ae8173dd
• bccb8dbce033d5db7c25411d852692cc
• c673271d4912aae21546b76a2cab8fbd
• c9fdbd1ea154a47dac277764ee11c82f
• cba9544d540ebb5d86907645f376f86c
• da22525907c121d585a2c65a2d78524d
• db877081bec683fd1d624aadbf50e660
• e1a3d35d298f75a6be3433d8237d9219
• e1d3ccdf0caea2775f2602342b7fe7d9
• e2ae7548c6053d308357d73da4299757
• e8f512d7893b00dca9fa8577435a2da5
• f317a2c35a424f4bf7e3a177bd795487
• f390b92a5162d0576606acb966375dd1
• f771774e06676209a2546e6967d3cba2

SHA1

• 12b9fe55cd97aab0e41066c7b29dad5c123da620
• 17bd829ca6901e8bc228f5020aefac2f89d64e8f
• 1e6db48e61f31169c00cb74ab446f92134c6f2fd
• 28b3856d307a13449fb13c99e582027f3f283555
• 291e10b261ff36962b3cf6e9ffeba4830dc558df
• 2bab45078f0b1384c6f5afd8e341231c9555abce
• 35acd14621e34e179f3d88dc3eae83e544a49942
• 3b26fb3e86000f55e853e64f1b2f37f3e06bef54
• 40b94a2f7aaa7bd0299df832d1aae45d5a262bbd
• 4243d0a770a5d91480ea600ab4fcc6464eccb31d
• 463231b0c2c63448f6ad736fee8dd4a4f58ec418
• 481d3831de6d7a34669b56ec222fd91bbda69376
• 539f3c45556c4c06080f112c772b965ccc09a175
• 57311b3dc34dc47a39415aa5545a604fbf194e8c
• 58fe37d630e5b471edc77a6d74d35c9c5185280d
• 5e69f16d7b3015cf50b81d3985b524e2472a92d9
• 61d7a697ccfc63ab72c021a450655a62866d156e
• 66f2f6ce0535f51a2b19acd2933c9a3f67608ea8
• 6a5d16ed45c7d82d2370deb79e2a622d7bfa5810
• 6c4badf93062e4a8018dddd55649013ad1a97ef4
• 6da3b5be62bee006ce6476ecb173f297f5a3e045
• 6eb22c3c6063a27b47ab5e18ea398009d8b503c7
• 7194614dbd9fe0e438d2d24d55e5ad617c55e1df
• 725996ab655389bcd6b37d5f86b17859b4167f18
• 73153312ca2d138e044079cf6257d67a85bf448d
• 7452cec6b191fc6597c33aede946e2c3327319b1
• 748d6df07c7287090e286da68906908443bd5221
• 78d1380ef34e93ea0e3d8d9355c8cad90fc01aa0
• 7c72d9a9065e448b0511975dd583d13ed179e43c
• 7e9bea5a8251e9b45ff5590161829a2a85e89851
• 83d013d40de7411495e6cffbd54f341461cf5e06
• 83ed2b9da7765451873d10a6490185fdf9817647
• 901abf01c93399419258e8dfbced665045afab40
• 9cc7247ea2d494f1dd36fd9fd4a61500a9731833
• a3b062f967c989988b86d1af3019cb964e2b4b95
• a3b66875129c9602c5b0764e67fbfb4e1d83b3f8
• a7ef2f94f3cd1147dd771d5e3d2edb347f6fb724
• b787f9a84151caf4a7f727a292216f3674c8662a
• befe9aa75cf43489f924875bdd181116e5f45693
• c26641321b6488de852ec26996fd067a97798ea1
• c7454940a07b0beab94138fd2a3c8bb50134bcab
• c7d487bd0fcb4282e0ceb51ccf58d4dac9163dbf
• cabbb00f66713caf38412fb330e75456a68d0d8c
• d463177dafb90b041b78b3a64d70f7a4a358056f
• d562058c5e0fdbac9daecbc1df72daa34dcbb271
• e050dec14c6f7e7b203f8271a549a2daa5813520
• e21352b054b4b50a844db4dffcb6290b13a5c9ce
• e7fd43143fba664ff079c129bd9da7a62ca173e7
• e8075eff6efc16cf12b8b4d4334a2c7c83003e28
• ec6c8e38606b23cce1da5ac1c3a73745630349d5
• f3976b1820af00a2026f05dc7cbc37cac93bd05d
• f8d9056c399aeccbd354e6f0a3b2eb3950c13c89
• fcdbc34de1bdb4b22ff279033fb06c3b5e1b0bdf
• fea12fa7ed1b0889f473835109be9685055bd183

SHA256

• 0004b033ed1ec504b0bcd5471cd61850ac872d4e1c198d4c1e0360918df5aebf
• 03ac99d62a5d72248358a14a75c51d3324a453f0342829ca0787349c4e2e95c5
• 04eed57320f2d1ff8924cd62a211f63895d8b5d53ae0b38502197335207e26a6
• 09254c38d521b61582dc4cc7889d8d14735f1f2a8128eef54e7e3bfa05309ea7
• 0b2d7d83ae7724102713e632920a93d08b9257a20d18002ff332cd5febf59837
• 138d417d48677c8ddb6b9371b7f792272c99f996a15e0b79bef8aacdb2ca1445
• 141adee79ed2ce22937c3abeabebe03deb711f51030c8d0e8a24e26b70468bd9
• 18ff8b56cf4364065c1ea75fec4bb580903d4254059f6aeba0d229c1606fc2fe
• 2149d796535e0eb084820976a6c7a036786760adfc14332632dc0f2ee020ee5b
• 282156d15c07da7aecf15fb7d1744a1283e8a3f5bb055815ba8108ede0ace588
• 282712a57768b1bc4cea5764e0b045546f281a4da0fd58d346f09499f892ba7a
• 2883604a5d6b5664ee314437ffd57145826668cb81db0641b1f3917ac1d55d1e
• 28eeb9e47996434c07e84b733931f2b801cda21032e9af5d25f170454339f479
• 2bbfc301c87ab123c0295bb4c07b977c2557e81ef79faf475efc859e30637475
• 2ff79fa1317a04f52d16b09dd8ca9a863cf176bf11410721a8592e1ebff598cf
• 30cc52d1e1e3c544e186d2166f870cedb1e3f9472f6d7aad0fea0cf2d7040347
• 30d97d420f2ffe75cc4fb1af0356537204f084a0e8eae9b9b26ee26b5f05cf4c
• 34b67a2dca6152d93280e2c6487058d141f7383ed5edd12ff1d80330cc98fcf1
• 365af25a835580b170239e630edd3ab014269d35cd738d94a6fbfdafb931b491
• 37d37b96f62899c27c27b2abff9e7e9f0e74de27d963a896c45fb18de4575a7b
• 3888e1394a803dc5ecdc3717298cee5037bcab98888538f2d051b90d7237e89e
• 4495b3fd162b5df16921f1114f4d85f38dd7ba4644a19d681c40fefebb597efb
• 598db3e9386fc4213d7d02b4d79e64761d4dfdd4202ca244e545d19f4b0f8ece
• 5e75aa2e0055f1225c45ab1902101d3a821dc9584f61534821715e67e2821573
• 613631686aea4c2be25f0bd2dd7aba3f023739373b426eb363992d8489a26d14
• 710d1a6cfe6d428de8aaeab55674bb22bab0ad044cc70b132659490a79f198e8
• 75aa5849eea643aad1f9a485dbf9898511395ab19bde6214002fac5447be8277
• 7eab00634a6b9f1866f2e74987d7f619215a45e34a421e7746e3c49ee148874e
• 838e7280d139e982224be1d2f67a85c59050d359a59d15a115ef01d4c1983515
• 8635a715da2430542c7cb90e94b3c1fe0f95dcd8c7ed837d0fa4a4ce643db6c7
• 943cc42b546e35b7a9f3c72c55e5cc0a8ea4593877d7aabc2f461595d43d6728
• 9624fad943b1fc73d25c583f9bd9985d15e62cfe4a3db150f4f24b0cf48e52f1
• 966007f0de4be060426050a2176561ee299e2f9bf6e718c3de8ce27e14943783
• 9a9494b0dd3819c7b23f77b9caafca9896e74252efeb24d253a053da5c6e9085
• 9a9631ab469600514fd0bd30fe34a6daf90ca58bcf5bde5a872218422aeea7c6
• 9c2ab621533f49dd833acf1df253371ceb5b533cfc7e6f44667c2a8641e86ce6
• 9e5031688b1b0ee32ddb851e64c33bab6142cab51b27230e5bcf633467d90b10
• a04ce09802ba6e45d26179dbd3d2d114af7c8d19110b43dd06f49b563e3829d9
• abecec0988075e28dfb2fb14aa8ccd721935d0e3371f6ddaf9ab2407d927153f
• b31177a046ddaa4822e137c0c91a15cc250de285dcac534724cc61262397ebde
• b5b0af1c1aca4326c3fbda711ffb5ab9827b476cd80da9f892dd6c3109d8d153
• b5e7b5c93500051787a9f3ee43ba47404ee762ef2477de7db4c74204278d2e05
• b9123df13d9862a618dd3007b1eedc558dd68ccf983025fcad21bf536c8d30ba
• c0814d74914ba22ccf3e1d268cf3e24e8f496cac38497b08756573f979494de0
• c1a6a6e6b80b5bcdd71ba3a9abbac789a32aa9a727a2cb4777fddf9055ea6869
• c536c337a2a6eefb82e0459ea207dbc5fc584826294be5f2e6020fa54451166e
• c741047bebd677db945ddb204629fe12d8112dac52dfd8010057aab6314d42c1
• d88f10e2ac0d73f9bb0d6fa5acc6c85c34459ab76c7a1b78dc22d00ad4547c2f
• d8c35d8491c858d171175d2d478806c1a53478316e85b8f814e79e502b3015dd
• d9ead920368b2f7a1c60e104ba0314fe5c8691da2525e5d776587df138558aeb
• dbb178a385680a20afc59048b396d30e745e5bac1ff1163d0a3c713c06fc89ea
• e44a30abf87f1b4403a7342c1447232d547bcf941ca001623802cd0d14f4d576
• eddb450375a4c2de5215f92bee50aa5f132051f19c8dd265ac10dda20118a8dd
• fc2c8cd05ef53d21b1c64dd9f9b826e996a2a2931b5d1f7a00d210a40d48deac