Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, обнаружила новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков. Главное отличие: вместо перехвата NFC-данных карты пользователя злоумышленники создают на его устройстве клон собственной карты. Когда в результате атаки мошенников жертва через банкомат попытается зачислить деньги на свой счёт, вся сумма отправится на карту дропа. Общий ущерб клиентов российских банков от использования всех вредоносных версий NFCGate за первый квартал 2025 года составил 432 млн рублей.

Хищник 2.0

Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 отмечают стремительное развитие вредоносного софта, способного через NFC-модули дистанционно перехватывать и передавать данные банковских карт. Первая атака с применением NFCGate в России произошла в августе 2024 года, а уже по итогам первого квартала 2025 года общий ущерб от использования всех вредоносных версий этого софта составил 432 млн рублей. Каждый день с января по март преступники совершали в среднем по 40 успешных атак. Средняя сумма ущерба от действий злоумышленников, использующих NFCGate, составила 120 тыс. рублей.

NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 году. На его основе злоумышленники создали вредоносное ПО. При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести ПИН-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счёта пользователя в банкомате. Впервые исследователи F6 описали использование NFCGate в преступных целях в январе 2025 года.

В феврале 2025 года компания F6 зафиксировала появление принципиально новой сборки NFCGate, которая используется в так называемой «обратной» схеме. Разработчики вредоносного ПО адаптировали приложение под готовый сервис для мошеннических колл-центров. При использовании первых версий NFCGate сообщники преступников, дропы, приходили к банкомату, чтобы снять деньги жертвы. Обратная версия NFCGate позволяет пропустить этот шаг: мошенники под разными предлогами направляют жертву к банкомату, чтобы перевести деньги якобы самому себе – но на самом деле преступникам.

Счёт в пользу мошенников

Атака на пользователей банковских карт с использованием обратного NFCGate проводится в два этапа. Вначале преступники действуют по стандартному для схемы с NFCGate сценарию. Используя приёмы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы. Злоумышленники объясняют, что это требуется, например, для «защиты» банковского счёта или получения более выгодных условий обслуживания в виде вклада с повышенной процентной ставкой. Кроме того, в марте 2025 года мошенники стали предлагать потенциальным жертвам внести сбережения на счёт цифрового рубля.

Если пользователь поверит злоумышленникам, перейдёт по ссылке, установит вредоносный софт и запустит его, приложение предложит сделать его основным для бесконтактных платежей. Изученные аналитиками компании F6 образцы ВПО маскировались под приложения финансового регулятора.

После установки приложения в качестве платёжной системы по умолчанию смартфон пользователя незаметно для владельца устанавливает контакт с устройством злоумышленников. Затем на смартфон жертвы отправляются NFC-данные банковской карты мошенников и происходит её эмуляция.

На втором этапе атаки пользователя убеждают отправиться к банкомату: якобы для того, чтобы зачислить сбережения на свой счёт. Это похоже на распространённый сценарий мошенничества с «безопасным счётом». Разница в том, что пользователя не просят назвать код из СМС и не пытаются выведать другую чувствительную информацию, чтобы не вызвать подозрений в обмане. Напротив, пользователю сообщают «новый» ПИН-код якобы от его же карты.

Когда жертва приложит своё устройство к NFC-датчику банкомата, произойдёт авторизация карты дропа. Банкомат потребует ввести ПИН-код, который уже продиктовали мошенники. Пользователь считает, что проводит зачисление денег на свой счёт, однако эта сумма отправляется мошенникам.

Найти семь отличий

По данным департамента Fraud Protection компании F6, только за март 2025 года преступники совершили более 1000 подтверждённых атак на клиентов ведущих российских банков с применением обратной версии NFCGate. В этих атаках участвовали несколько сот карт дропов. Таким образом, злоумышленники используют одну карту как минимум для трёх-четырёх атак. Средняя сумма ущерба от атак с применением обратной версии NFCGate по итогам марта составила около 100 тыс. рублей.

Аналитики компании F6 внимательно изучили новую версию вредоносного софта и её преступные возможности. Спойлер: защититься от новой сборки вредоносного софта можно, но популярные антивирусы ещё не научились распознавать её на лету.

Вот семь основных технических отличий обратного NFCGate от предыдущих модификаций.

1. При установке приложения пользователю не предлагают приложить карту к NFC-модулю и ввести ПИН-код.
2. Для использования вредоносного приложения требуется меньше разрешений, чем для легитимного NFCGate.
3. Маскируется под приложение для бесконтактных платежей.
4. Для воспроизведения NFC-трафика не требуются root-права. Злоумышленники обошли эту необходимость путём запроса у пользователя установки вредоносного ПО в качестве платёжной системы по умолчанию.
5. Расширен перечень команд, получаемых приложением с сервера злоумышленников.
6. Реализован механизм сокрытия вредоносного софта с главного экрана смартфона. Пользователь сможет найти это приложение только в настройках устройства.
7. Использована комбинация техник, чтобы усложнить обнаружение угрозы антивирусами и другими средствами детектирования вредоносного софта. По исследуемым образцам аналитики F6 фиксировали отсутствие реакции популярных антивирусов на обратную версию NFCGate.

Итоги исследования, технические подробности, индикаторы компрометации (IoCs) новой версии вредоносного софта представлены в блоге на сайте компании F6.

«В руках киберпреступников легитимное приложение NFCGate быстро превратилось в одну из главных угроз для клиентов российских банков, и злоумышленники продолжают непрерывно её совершенствовать. Каждый месяц появляются новые, ещё более опасные модификации, которые получают дополнительные возможности для обхода антифрод-решений и ограничений, маскировки и кражи денег пользователей. Масштабы распространения NFCGate в России говорят о его активном использовании киберпреступниками. Это цифровое оружие с недавних пор свободно продаётся в даркнете. Высокая цена и схемы продажи обратной версии NFCGate могут указывать на большой спрос со стороны злоумышленников, а также масштаб ожиданий киберпреступников от применения этого инструмента», – Дмитрий Ермаков, Руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6

Как защититься от NFCGate

Рекомендации специалистов F6 для пользователей

• Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
• Не переходите по ссылкам из смс и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.
• Не устанавливайте приложения по рекомендациям незнакомцев, а также по ссылкам из смс, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay. Перед установкой обязательно проверяйте отзывы на приложение, обращая особое внимание на негативные отзывы – это поможет определить фейковые и потенциально опасные программы.
• Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
• Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.
• Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.
• Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.

• Для защиты своего устройства от обратной версии NFCGate:

1. Проверьте в настройках устройства, какие приложения имеют разрешение на управление модулем NFC. Если на устройстве вы обнаружили подозрительное приложение, имеющее такое разрешение, но вы не знаете, для чего оно вам нужно, вы не устанавливали либо установили по рекомендации неизвестных, рекомендуем удалить такое приложение.
2. Проверьте, какие приложения имеют доступ к платежной системе устройства. Если в качестве платежной системы по умолчанию выбрано подозрительное приложение, которое вы не устанавливали либо установили по рекомендации неизвестных, функционал которого вам не известен, также рекомендуем удалить такое приложение.

Рекомендации специалистов F6 для подразделений информационной безопасности банков

• При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту.
• Учитывать данные геолокации пользователей.
• Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
• Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.

Например, для оценки риска транзакции и проверки получателя (KYC – know your customer) модули решения F6 Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.