Чип-потрошитель: число атак на клиентов российских банков с использованием NFCGate за месяц выросло на 80%

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, фиксирует стремительный рост активности мошенников, использующих для атак на клиентов российских банков вредоносный софт на основе легитимного приложения NFCGate. За месяц число подтверждённых атак увеличилось на 80%, средняя сумма ущерба выросла вдвое – до ₽200 тыс., а общая сумма ущерба – более чем в три раза и составила около ₽150 млн.

Аналитики F6 предупреждают: многие пользователи находятся под угрозой кражи денег со счетов с использованием NFCGate, не подозревая об этом. Сейчас в России насчитывается как минимум 114 тыс. скомпрометированных Android-устройств, на которых установлено вредоносное ПО, способное через NFC-модули перехватывать и передавать данные банковских карт. Эти программы маскируются под приложения банков, госсервисов, мобильных операторов и даже популярных антивирусов.

Чёрная метка

Новая схема финансового мошенничества с использованием NFCGate, которую впервые зафиксировали в России в августе 2024 года, стала для системы безопасности российских банков испытанием на прочность. Уникальность схемы – в сочетании социальной инженерии, использовании легитимного приложения, замаскированного под государственные, банковские и иные сервисы, а также снятии денег через банкоматы.

Первые данные об ущербе от мошенничества с использованием NFCGate аналитики компании F6 представили месяц назад. С середины декабря 2024-го по середину января 2025-го было совершено не менее 400 подтверждённых атак на клиентов ведущих российских банков, средняя сумма списания составила около ₽100 тыс. После новогодних каникул активность злоумышленников, использующих NFCGate, стала нарастать. За период с середины января по середину февраля число подтверждённых атак увеличилось на 80%, средняя сумма ущерба выросла вдвое – до ₽200 тыс., а общая сумма ущерба – более чем в три раза и составила около ₽150 млн.

Киберпреступники используют возможность NFCGate обмениваться данными между двумя смартфонами, на которых установлено приложение. Задача злоумышленников – получить NFC-метку банковской карты пользователя и её пин-код. Для этого мошенникам нужно убедить потенциальную жертву установить на смартфон вредоносное приложение под видом легитимной программы. На момент исследования, которое специалисты департамента противодействия финансовому мошенничеству (Fraud Protection) и департамента киберразведки (Threat Intelligence) компании F6 провели в январе 2025 года, им удалось обнаружить свыше 100 уникальных образцов вредоносного ПО для Android на основе NFCGate. За месяц список мобильных приложений, под которые злоумышленники маскируют такое ВПО, заметно расширился. К приложениям банков, госсервисов и мобильных операторов добавились, в том числе, программы для видеосвязи, бесконтактных платежей и популярные антивирусы.

Затаившийся дракон

По словам руководителя отдела аналитики данных Fraud Protection компании F6 Александры Радченко, для установки на устройстве пользователя вредоносного приложения на основе NFCGate злоумышленники действуют двумя путями.

Первый – с использованием телефонного мошенничества и приёмов социальной инженерии, когда пользователь сам устанавливает ВПО с фишингового сайта. Например, с начала 2025 года активно применяется сценарий, при котором мошенник под видом представителя банка связывается с пользователем через Telegram или WhatsApp и предлагает более выгодные условия от банка или уникальный продукт. Пользователю присылают ссылку на фишинговую страницу, на которой предлагают ввести персональные данные входа в личный кабинет онлайн-банка, а затем скачать вредоносное мобильное приложение.

Второй – установка софта с NFCGate на устройство жертвы без её ведома, используя трояны удалённого доступа, например, CraxRAT. Такие вредоносные программы распространяют обычно через мессенджеры в виде APK-файлов под видом обновлений легитимных приложений, а также фейковых антивирусов, приложений госсервисов и операторов связи.

Аналитики F6 прогнозируют: при отсутствии эффективного централизованного противодействия новой схеме мошенничества волна атак на клиентов российских банков продолжит расти. Такой прогноз основан на сведениях о числе скомпрометированных Android-устройств, на которых установлено вредоносное ПО на основе NFCGate. По данным компании, на 12 февраля в России насчитывалось 114 тыс. таких устройств.

Факт установки такого приложения на устройство ещё не означает, что злоумышленники автоматически получают доступ к NFC-данным банковской карты. Для перехвата и передачи данных необходимо, чтобы пользователь запустил вредоносную программу и приложил карту к NFC-чипу. Однако есть другая опасность. Как и предупреждали аналитики Fraud Protection, мошенники доработали функционал ВПО. Теперь при установке и запуске вредоносного приложения оно скрытно для пользователя перехватывает смс, а в случае, если жертва приложила карту к NFC-чипу, сразу передаёт её данные преступникам параллельно с NFC-трафиком. Таким образом, для атаки на пользователя, на устройстве которого уже установлено приложение с NFCGate, злоумышленнику остаётся только выбрать подходящий сценарий.

С учетом особенностей платформы Android и относительной простотой распространения такого ВПО, как NFCGate и CraxRAT, мы ожидаем значительный рост числа атак с использованием этой мошеннической схемы. Киберпреступники внимательно следят за развитием антифрод-решений и оперативно адаптируют свои техники для обхода ограничений. Для этого активно применяются приёмы социальной инженерии, создаются фишинговые ресурсы, имитирующие приложения дистанционного банковского обслуживания популярных банков. Само ВПО разрабатывается как готовый сервис для мошеннических колл-центров. Также мошенники могут использовать технологию NFCGate для скиминговых (шиминговых) атак.

Дмитрий Ермаков

Руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6

Как защититься от схемы с NFCGate

Рекомендации специалистов F6 для пользователей.

• Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов сотовой связи или госсервисов! Не переходите по ссылкам из смс и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков.
• Не устанавливайте приложения по ссылкам из смс, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay.
• Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
• Не сообщайте посторонним CVV и PIN-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых, подозрительных сайтах и в сомнительных приложениях.
• Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка или с использованием банковского приложения.

Рекомендации специалистов F6 для подразделений информационной безопасности банков.

• Исключить общение с клиентами в мессенджерах. Уведомить клиентов, что сотрудники банка не используют мессенджеры для связи с клиентами.
• При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту.
• Учитывать данные геолокации пользователей.
• Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
• Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа. Например, для оценки риска транзакции и проверки получателя (KYC, know your customer) модули решения F6 Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.