Растущее зло: атаки на клиентов банков через NFCGate достигли рекордного уровня в 80%

Компания F6, признанный лидер в разработке технологий для противодействия киберпреступности, отмечает резкое увеличение числа мошеннических атак, в которых злоумышленники используют вредоносное ПО на основе легитимного приложения NFCGate для целей мошенничества с клиентами российских банков. За последний месяц было зафиксировано увеличение количества подтверждённых атак на 80%, тогда как средний ущерб от одной операции удвоился и составил ₽200 тыс.. Общая сумма убытков возросла более чем в три раза, достигнув почти ₽150 млн.

Специалисты F6 предупреждают: множество пользователей рискуют потерять деньги со своих счетов, даже не догадываясь об этом. В настоящее время в России насчитывается как минимум 114 тыс. заражённых Android-устройств, на которых установлено вредоносное ПО. Оно использует NFC-технологию для перехвата и передачи данных о банковских картах. Мошеннические приложения маскируются под программное обеспечение банков, государственных услуг, мобильных операторов и даже популярных антивирусных решений.

Тревожный сигнал

Новая схема мошенничества с применением NFCGate, впервые выявленная в России в августе 2024 года, представляет серьезную угрозу для системы безопасности российских банков. Уникальность этой схемы заключается в сочетании методов социальной инженерии и использования легитимного приложения, замаскированного под государственные, банковские и другие сервисы, а также в возможности осуществления вывода денег через банкоматы.

Первая информация о последствиях мошенничества с использованием NFCGate была предложена аналитиками F6 месяц назад. В период с середины декабря 2024 года по середину января 2025 года было задействовано не менее 400 подтверждённых атак на клиентов крупных российских банков, где средняя сумма списания составляла примерно ₽100 тыс. После новогодних праздников активность злоумышленников с использованием NFCGate возросла. С середины января по середину февраля количество подтверждённых атак увеличилось на 80%, средний ущерб вырос до ₽200 тыс., а общая сумма убытков увеличилась более чем в три раза, составив около ₽150 млн.

Киберпреступники используют потенциал NFCGate для обмена данными между двумя устройствами, на которых установлено это приложение. Их цель — получить NFC-метку банковской карты и PIN-код пользователя. Для достижения этого злоумышленники должны убедить жертву установить вредоносное ПО под предлогом легитимного приложения. Во время исследования, проведенного специалистами департамента по противодействию финансовому мошенничеству (Fraud Protection) и департамента киберразведки (Threat Intelligence), в январе 2025 года было выявлено более 100 уникальных образцов вредоносного ПО, использующего NFCGate. За месяц список приложений, под которые злоумышленники маскируют такое ПО, значительно увеличился. К банковским, государственным и мобильным сервисам добавились приложения для видеосвязи, бесконтактных платежей и известные антивирусы.

Тайный враг

Александра Радченко, руководитель отдела аналитики данных Fraud Protection компании F6, заявляет, что для установки вредоносного приложения на устройства пользователей мошенники используют два основных подхода.

Первый — это телефонное мошенничество и методы социальной инженерии, когда сам пользователь устанавливает вредоносное ПО с фишингового сайта. Например, с начала 2025 года стал популярен сценарий, где мошенник, выдавая себя за представителя банка, связывается с пользователем через Telegram или WhatsApp и предлагает более выгодные условия от банка или уникальные продукты. Пользователю отправляют ссылку на фишинговую страницу, где предлагается ввести персональные данные для входа в онлайн-банк, а затем скачать вредоносное мобильное приложение.

Второй способ включает установку софта с NFCGate на устройство жертвы без её ведома с использованием троянов удалённого доступа, таких как CraxRAT. Эти вредоносные программы обычно распространяются через мессенджеры в виде APK-файлов, маскируясь под обновления легитимных приложений или фальшивые антивирусы и программные продукты государственных служб и операторов связи.

Аналитики F6 предполагают, что без эффективного применения централизованных мер противодействия мошенничеству новая схема обмана продолжит набирать популярность. Эти прогнозы основаны на данных о количестве скомпрометированных Android-устройств с установленным вредоносным ПО, использующим NFCGate. На 12 февраля в России насчитывалось 114 тыс. таких устройств.

Установка данного приложения на устройство не гарантирует, что злоумышленники получат доступ к NFC-данным банковской карты. Для этого жертва должна запустить вредоносную программу и приложить свою карту к NFC-чипу. Однако существует и другая угроза. Как уже предупреждали аналитики Fraud Protection, мошенники усовершенствовали функционал вредоносного ПО. Теперь, после установки и запуска программы, она скрытно перехватывает SMS-сообщения, и если жертва приложит карту к NFC-чипу, данные немедленно передаются преступникам совместно с NFC-трафиком. Таким образом, злоумышленнику остаётся лишь выбрать подходящий момент для атаки на пользователя, у которого уже установлено это приложение.

«Принимая во внимание особенности платформы Android и относительную простоту распространения таких программ, как NFCGate и CraxRAT, мы предсказываем резкий рост числа атак с использованием данной мошеннической схемы. Киберпреступники внимательно следят за развитием технологий защиты и быстро адаптируют свои методы для обхода мер безопасности. Для этого активно применяются методы социальной инженерии и создаются фишинговые сайты, которые имитируют приложения дистанционного банковского обслуживания популярных банков. Само вредоносное ПО разрабатывается как готовое решение для мошеннических колл-центров. Также злоумышленники могут использовать технологии NFCGate для проведения скимминговых и шимминговых атак», – комментирует руководитель департамента противодействия финансовым мошенничествам (Fraud Protection) компании F6 Дмитрий Ермаков.

Советы по защите от схемы NFCGate

Рекомендации специалистов F6 для пользователей:

1. Избегайте общения в мессенджерах с незнакомыми людьми, даже если они представляются сотрудниками банков или операторов связи.
2. Не переходите по ссылкам из SMS и сообщений в мессенджерах, даже если они выглядят как данные от банка.
3. Устанавливайте приложения только из официальных магазинов, таких как RuStore и Google Play, и не переходите по ссылкам из подозрительных источников.
4. В случае получения предложений установить или обновить приложение банка, уточняйте информацию, позвонив на горячую линию, номер которой указан на обратной стороне вашей банковской карты.
5. Никогда не сообщайте третьим лицам CVV и PIN-коды своих карт, а также логины и пароли для доступа к онлайн-банкингу. Не вводите эти данные на незнакомых и подозрительных веб-сайтах.
6. Если у вас возникли подозрения о компрометации вашей карты, незамедлительно заблокируйте её, позвонив на горячую линию банка или используя его мобильное приложение.

Рекомендации F6 для подразделений информационной безопасности банков:

1. Исключите общение с клиентами через мессенджеры и туннелируйте в своем кредитовании, что сотрудники банка не используют мессенджеры для связи с клиентами.
2. При подозрительных операциях с использованием NFC в банкоматах спрашивайте у клиента пластиковую карту.
3. Учитывайте данные о геолокации пользователей.
4. Внедряйте дополнительные меры защиты на устройства пользователя для выявления вредоносного ПО.
5. Дополните системы мониторинга событиями, связанными с банкоматами и токенизацией.

Для защиты банков от подобных схем эффективно работать антифрод-решения, которые анализируют сессионные и поведенческие данные, а также новые технологии, обнаруживающие подозрительную активность. Например, для оценки рисков транзакций и проверки получателей (KYC, know your customer) решение F6 Fraud Protection позволяет собирать и обмениваться кросс-канальными сессионными данными, включая идентификаторы устройств, параметры сетевого подключения, индикаторы компрометации и обезличенные персональные данные в режиме реального времени.