В период с января по октябрь 2025 года злоумышленники похитили у клиентов российских финансовых организаций свыше 1,6 миллиарда рублей. Для этого использовалось вредоносное приложение NFCGate, которое предоставляет удалённый доступ к управлению смартфоном и позволяет создавать виртуальные дубликаты банковских карт. С начала года было отмечено более 56 тысяч подобных киберпреступлений.
Как сообщают «Ведомости», хакеры присвоили у россиян свыше 1,5 миллиарда рублей с помощью программы для перехвата трафика. Это приложение фактически открывает полный удалённый контроль над мобильным устройством пострадавшего пользователя.
Согласно информации от F6 (ранее F.A.C.C.T.), за десять месяцев 2025 года с использованием вредоносного ПО NFCGate у клиентов банков в России было украдено не менее 1,6 миллиарда рублей. Данное программное обеспечение позволяет дистанционно управлять чужим телефоном и формировать виртуальные копии платёжных карт. Зафиксировано как минимум 56 тысяч таких атак в цифровой среде.
F6 является одним из ключевых разработчиков технологий для противодействия киберпреступности, а также для предупреждения и расследования кибератак в России и других странах. ИТ-компания была создана при участии фонда развития эффективной кибербезопасности «Сайберус», однако фонд не будет вовлечён в операционное управление F6. Основные продукты компании базируются на опыте, накопленном за годы реагирования на инциденты в цифровом пространстве и изучения киберпреступности. Решения F6 обеспечивают защиту от рисков, связанных с целевыми атаками, утечками информации, мошенничеством, фишингом и незаконным использованием торговых марок.
Одна из распространённых схем мошенничества работает следующим образом: злоумышленники берут за основу официальное приложение NFCGate для Android (оно предназначено для разработчиков и банков и служит для копирования и анализа трафика ближней бесконтактной связи — NFC). На его базе создаётся вредоносная модификация. Когда жертва устанавливает такое приложение, оно под предлогом проверки или привязки карты запрашивает приложить банковскую карту к телефону и ввести PIN-код. В этот момент данные карты и введённый код мгновенно передаются преступникам. Получив эту информацию, они могут легко снять средства со счёта жертвы или использовать карту для онлайн-платежей.
Также существует обратный вариант этой схемы: вместо перехвата NFC-данных карты пользователя, хакеры создают на его устройстве копию своей собственной карты. Затем, когда потерпевший попытается через банкомат внести деньги на свой счёт, вся сумма будет зачислена на карту злоумышленника.
«Финансовые учреждения обнаруживают операции, совершаемые с использованием виртуальных NFC-клонов, по отклонениям в паттернах платежей — к примеру, если местоположение устройства не совпадает с точкой проведения платежа, наблюдаются чрезмерно быстрые или многочисленные транзакции, а также в случаях, когда средства переводятся на неизвестный счёт», — пояснил руководитель проектов «Интеллектуальной аналитики» Тимофей Воронин.
Специалисты F6 обнаружили ещё один способ хищения средств с применением NFCGate. Приложение было встроено в троянца удалённого доступа RatOn, что дало злоумышленникам возможность скрытно похищать финансы не только с банковских счетов жертв, но и из их криптовалютных кошельков.
Как сообщил представитель F6, вредоносная программа RatOn запускается в три шага. Сначала пользователь инсталлирует приложение-обманку, которое выдаёт себя за популярный сервис (например, TikTok или другую легальную программу). Затем, под предлогом обновления, автоматически загружается и устанавливается второй APK-пакет — троян удалённого доступа (RAT). На третьем этапе этот троян загружает и устанавливает третий APK — модифицированную версию NFCGate. В результате жертва самостоятельно, шаг за шагом, устанавливает на своё устройство полноценный инструмент для кражи данных банковских карт, даже не догадываясь об этом.
RatOn делает скриншот экрана каждые 50 микросекунд и постоянно передаёт злоумышленнику весь текстовый контент, отображаемый на устройстве пользователя, уточнил представитель F6. Мобильное приложение также способно подменять конфиденциальные данные (например, номера счетов), использовать чёрные экраны для маскировки своих действий, выводить нужный текст или открывать вредоносные сайты, а также отправлять SMS-сообщения с заражённого телефона, добавил он.
Благодаря такой схеме злоумышленники получают полный доступ к заражённому устройству и могут: незаметно похищать деньги через установленные банковские приложения; получать личную информацию, открывая уже авторизованные аккаунты в социальных сетях, мессенджерах и других сервисах.
К сожалению, все предыдущие вредоносные модификации NFCGate затрагивали и Россию, отметил руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков. Тот факт, что разработчики предусмотрели для RatOn поддержку русскоязычных приложений, указывает на высокую вероятность дальнейшей адаптации этого вредоносного ПО, выразил опасения Ермаков.
Вредоносные программы RatOn и NFCGate формируют новую волну кибератак, сочетая в себе целый набор опасных возможностей, сообщил «Ведомостям» руководитель департамента расследований T.Hunter Игорь Бедеров: они автоматизируют операции в банковских приложениях и повышают скрытность своей деятельности. Это позволяет злоумышленникам получать полный контроль над устройством жертвы, обходить защитные проверки (например, подменяя номера счетов при переводах) и маскировать следы мошенничества, поясняет он.
В декабре 2025 года основной мишенью атак всё чаще оказываются мобильные банковские приложения, отмечает Тимофей Воронин. Для этого применяются два ключевых метода: прямая рассылка вредоносных APK-файлов; а также многоэтапные схемы, где вредоносный APK становится лишь завершающим звеном цепочки. Антивирусные программы и встроенные механизмы защиты способны заблокировать установку второго и третьего APK (трояна и NFCGate), если у тех отсутствует корректная цифровая подпись или их поведение вызывает подозрения, добавляет эксперт. Однако из-за sophisticated маскировки и поэтапного внедрения большинство пользователей не успевает осознать угрозу, поскольку троян активируется раньше, чем жертва что-либо замечает, сожалеет Воронин.
