400 атак за два месяца: NFCGate опустошает счета россиян

Эксперты F.A.C.C.T. исследовали новую мошенническую схему, построенную на использовании мобильного приложения NFCGate. Согласно оценкам специалистов, только за декабрь 2024 года и январь 2025 года было зафиксировано более 400 атак на клиентов ведущих российских банков. Средний размер ущерба составил порядка 100 тысяч рублей.

Приложение NFCGate, разработанное в 2015 году студентами Дармштадтского технического университета как учебный проектПрограмма, предназначенная для захвата, мониторинга и анализа NFC-трафика путём его перехвата и воспроизведения, свободно распространялась в интернете. Однако в ноябре 2023 года его впервые использовали в криминальных целях. В августе 2024 года произошла первая зафиксированная атака на клиентов российских банков. Преступники активно применяют функцию передачи данных между двумя устройствами, на которых установлено приложение.

Мошенническая схема с использованием NFCGate состоит из двух этапов. На первом этапе злоумышленники прибегают к социальной инженерии. Жертве под предлогом «защиты» банковской карты, взлома аккаунта на портале «Госуслуги», продления договора сотовой связи, замены медицинского полиса, оплаты коммунальных услуг или подтверждения личности предлагают установить специальное приложение. Оно внешне напоминает легитимное ПО банка или государственного сервиса, но на деле представляет собой вредоносную программу на основе NFCGate.

В компании выявили более 100 уникальных образцов такого вредоносного ПО для Android. Для маскировки злоумышленники создают приложения, схожие по названию с официальными сервисами, например: «Защита карт ЦБ РФ», «ЦБРезерв+», «Госуслуги Верификация» и «Сертификат Безопасности».

Кроме того, преступники используют трояны удаленного доступа, такие как CraxRAT, которые позволяют устанавливать NFCGate без ведома пользователя. Подобные программы распространяются через мессенджеры в виде APK-файлов, замаскированных под обновления легитимных приложений, а также подложных приложений госсервисов, операторов связи и антивирусного ПО.

После установки приложения на основе NFCGate на смартфон жертвы, устройство злоумышленника получает сигнал о готовности к обмену данными. Вредоносная программа предлагает жертве пройти верификацию, приложив банковскую карту к обратной стороне смартфона. Когда пользователь приложит карту к NFC-модулю, эти данные моментально передаются на смартфон злоумышленника. В некоторых случаях приложение запрашивает ввод ПИН-кода, который также передаётся на устройство преступника.

Если злоумышленник находится возле банкомата и прикладывает своё устройство к его NFC-датчику, достаточно ввести полученный от жертвы ПИН-код, чтобы в течение минуты похитить с карты все средства. Однако кража может произойти и не сразу: функционал NFCGate позволяет записывать данные банковской карты жертвы и воспроизводить их позже, например, для токенизации карты и последующих покупок. Если жертва не блокирует карту после первого инцидента , злоумышленники могут неоднократно списывать деньги.

Исследования компании выявили серверную инфраструктуру, позволяющую хранить украденные данные и создавать модифицированные версии NFCGate для целевых атак. Аналитики прогнозируют, что злоумышленники могут внедрить новые функции, включая перехват СМС и push-уведомлений, и распространить ПО по модели Malware-as-a-Service.