В лаборатории зла: как CraxsRAT и NFCGate превратили Android в банкомат

Специалисты компании F6 зафиксировали масштабные атаки на пользователей российских банков с применением двух вредоносных программ — Android-трояна CraxsRAT и модифицированной версии легального приложения NFCGate. По данным аналитиков, на март 2025 года в России насчитывается более 180 тысяч устройств, на которых одновременно установлены оба этих компонента.

В отчёте компании указано , что в первом квартале 2025 года наблюдается рост доли заражённых устройств, на которых одновременно используются оба вредоносных инструмента. Подобная связка, по оценке экспертов, является одной из главных угроз для клиентов банков, поскольку позволяет мошенникам действовать без предварительного контакта с жертвой.

CraxsRAT представляет собой многофункциональный Android-троян, разработанный на основе исходного кода SpyNote. Программа маскируется под легитимные приложения и после установки предоставляет злоумышленникам удалённый доступ к устройству пользователя. Впервые о CraxsRAT сообщили в октябре 2024 года. По оценке компании, в феврале 2025 года число заражений этим ВПО выросло в 2,5 раза по сравнению с декабрём, достигнув более 22 тысяч заражённых устройств.

NFCGate — приложение, изначально разработанное студентами из Германии в 2015 году, — используется злоумышленниками для создания вредоносного софта, который при установке на устройство под видом полезной программы просит пользователя приложить банковскую карту и ввести пин-код. Эти данные перехватываются и используются для вывода средств через банкоматы. Использование NFCGate в преступных целях было зафиксировано в январе 2025 года.

Суммарный ущерб от атак с применением вредоносных версий NFCGate в январе–феврале 2025 года составил около 200 миллионов рублей. Только в феврале количество таких атак выросло на 80% по сравнению с январем. При этом атаке подверглись более 1200 пользователей, тогда как общее число устройств с установленной вредоносной версией NFCGate превысило 158 тысяч.

Если в начале года мошенники чаще использовали звонки и переписку в мессенджерах, то теперь основной канал доставки — троян CraxsRAT. По данным специалистов, увеличивается число случаев, когда оба вредоносных инструмента устанавливаются на одно устройство. Кроме того, обнаружены объявления в даркнете об аренде программ, объединяющих возможности CraxsRAT и NFCGate.

В компании отмечают, что использование CraxsRAT в связке с NFCGate обеспечивает преступникам полный контроль над смартфоном пользователя. Это даёт доступ к банковским приложениям, возможности перехвата уведомлений и одноразовых кодов, а также позволяет напрямую обналичивать средства путём перехвата NFC-сигнала и кражи данных карты.

CraxsRAT распространяется преимущественно через социальную инженерию — вредоносные APK-файлы рассылаются в мессенджерах под видом архивов с фотографиями, видео и популярных приложений. Среди распространённых маскировок — фальшивые версии госпрограмм («Госуслуги», «ГосЗащита»), антивирусов , приложений операторов связи, программ для видео- и фотоработы.

Аналитики обнаружили более 140 уникальных образцов CraxsRAT и свыше 100 образцов вредоносного ПО на базе NFCGate. В числе популярных маскировок для последнего — поддельные приложения государственных структур («Защита карт ЦБ РФ», «GosSecure»), а также софт для бесконтактной оплаты, видеосвязи и автомобильной диагностики.

Использование этой связки позволяет преступникам без звонков выводить деньги со счетов пользователей, получая полный доступ к банковским приложениям, сообщениям и NFC-модулю, пояснили в компании.

Для пользователей специалисты рекомендуют не устанавливать приложения из неизвестных источников, избегать общения в мессенджерах с незнакомцами и проверять подлинность ссылок, даже если они выглядят официально. Банкам же стоит отказаться от любых форм коммуникации с клиентами через мессенджеры и усилить защиту на уровне банкоматов и мобильных приложений.