С начала и до октября 2025 года злоумышленники похитили у клиентов российских финансовых организаций свыше 1,6 миллиарда рублей, используя вредоносную программу NFCGate. Данное ПО предоставляет возможность удалённого контроля над мобильными устройствами и создания цифровых дубликатов платёжных карт. За указанный период было отмечено более 56 тысяч подобных киберпреступлений.
Как сообщают «Ведомости», с применением приложения для перехвата трафика у граждан России было украдено свыше 1,5 миллиарда рублей. Этот инструмент фактически открывает полный удалённый доступ к смартфону пострадавшего.
Согласно информации от F6 (ранее F.A.C.C.T.), за десять месяцев 2025 года с использованием вредоносного программного обеспечения NFCGate, которое позволяет дистанционно управлять чужим телефоном и формировать виртуальные копии банковских карт, было похищено не менее 1,6 млрд рублей у клиентов банков в России. Зафиксировано не менее 56 тысяч подобных атак в цифровой среде.
F6 является одним из ключевых разработчиков технологий для противодействия киберпреступности, а также для предупреждения и расследования киберинцидентов в России и других странах. Компания была создана при участии фонда развития эффективной кибербезопасности «Сайберус», однако фонд не будет вовлечён в операционное управление F6. Основные ИТ-продукты компании базируются на опыте, накопленном за годы реагирования на инциденты и изучения киберпреступной деятельности. Решения F6 обеспечивают защиту от таких киберугроз, как целевые атаки, утечки информации, мошеннические операции, фишинг и незаконное использование торговых марок.
Одна из распространённых мошеннических схем работает следующим образом: преступники берут за основу легальное приложение NFCGate для Android (оно предназначено для разработчиков и банковских служб с целью копирования и анализа трафика ближней бесконтактной связи — NFC). На его базе создаётся вредоносная модификация. Когда жертва устанавливает такое приложение, оно запрашивает для проверки или привязки карты поднести её к телефону и ввести PIN-код. В этот момент реквизиты карты и введённый код немедленно передаются злоумышленникам. Получив эти данные, они могут легко обналичить средства со счёта жертвы или совершать онлайн-платежи.
Также существует обратный вариант данной схемы, когда вместо перехвата NFC-данных карты пользователя, злоумышленники создают на его устройстве копию своей собственной карты. В результате, когда потерпевший попытается через банкомат внести деньги на свой счёт, вся сумма будет зачислена на карту преступника.
«Финансовые учреждения обнаруживают операции, совершаемые с использованием виртуальных NFC-клонов, по отклонениям в паттернах платежей — к примеру, если местоположение устройства не совпадает с точкой проведения платежа, наблюдаются чрезмерно быстрые или многочисленные транзакции, а также в случаях, когда средства переводятся на неизвестный счёт», — пояснил руководитель проектов «Интеллектуальной аналитики» Тимофей Воронин.
Специалисты F6 обнаружили ещё один способ хищения средств с применением NFCGate. Приложение было встроено в троянец удалённого доступа RatOn, что дало злоумышленникам возможность скрытно похищать деньги не только с банковских счетов жертв, но и из их криптокошельков.
Как сообщил представитель F6, вредоносная программа RatOn запускается в три шага. Сначала пользователь устанавливает приложение-обманку, которое выдаёт себя за популярный сервис (например, TikTok или другую легальную программу). Затем, под предлогом обновления, автоматически загружается и инсталлируется второй APK-пакет — троянец удалённого доступа (RAT). На третьем этапе этот троянец, в свою очередь, скачивает и устанавливает третий APK — модифицированную версию NFCGate. В результате жертва самостоятельно, шаг за шагом, устанавливает полноценный инструмент для кражи данных банковских карт, даже не догадываясь об этом.
RatOn делает скриншот экрана каждые 50 микросекунд и постоянно передаёт злоумышленнику все текстовые данные с устройства пользователя, уточнил представитель F6. Мобильное приложение также позволяет подменять конфиденциальную информацию (например, номера счетов), использовать чёрные наложения для скрытия действий от пользователя, выводить на экран нужный текст или открывать вредоносные сайты, а также отправлять SMS-сообщения с заражённого устройства, добавил он.
Благодаря такой схеме злоумышленники получают полный контроль над скомпрометированным устройством и могут: незаметно похищать средства с банковских счетов прямо через установленные банковские приложения; получать доступ к личным данным, открывая уже авторизованные аккаунты в социальных сетях, мессенджерах и других сервисах.
К сожалению, ни одна из предыдущих вредоносных модификаций NFCGate не обошла стороной Россию, отметил руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков. Тот факт, что разработчики предусмотрели для RatOn поддержку приложений на русском языке, указывает на высокую вероятность дальнейшей адаптации этого вредоноса, выразил опасения Ермаков.
Вредоносные программы RatOn и NFCGate формируют новую угрозу в киберпространстве, сочетая в себе целый ряд опасных возможностей, сообщил «Ведомостям» руководитель департамента расследований T.Hunter Игорь Бедеров: они автоматизируют операции в банковских приложениях и повышают скрытность своей деятельности. Это позволяет злоумышленникам получать полный контроль над устройством пострадавшего, обходить системы проверок (например, подменяя номера счетов при переводах) и маскировать следы мошенничества, поясняет он.
В декабре 2025 года основной мишенью атак всё чаще оказываются мобильные банковские приложения, отмечает Тимофей Воронин. Для этого применяются два ключевых метода: прямая рассылка вредоносных APK-файлов; многоэтапные схемы, где вредоносный APK является лишь завершающим звеном цепочки. Антивирусные программы и встроенные механизмы защиты способны заблокировать установку второго и третьего APK (трояна и NFCGate), если у тех отсутствует корректная цифровая подпись или их поведение кажется подозрительным, добавляет эксперт. Однако из-за высокого уровня маскировки и поэтапной загрузки большинство пользователей попросту не успевает осознать происходящее, поскольку троян полностью активируется раньше, чем жертва что-либо заподозрит, сожалеет Воронин.
