01 Декабря 2025 10:45 01 Дек 2025 10:45 |

Поделиться

У россиян похитили за год более 1,5 миллиардов с помощью легального приложения Android

Эксплуатация вредоносного софта

Хакеры похитили у россиян более 1,5 млрд руб. с помощью приложения для подмены трафика, пишут «Ведомости». Оно фактически дает полный доступ для дистанционного управления смартфоном пользователя-жертвы.

По данным F6 (ранее F.A.C.C.T.), за первые 10 месяцев 2025 г. у клиентов российских банков украли не менее 1,6 млрд руб. с помощью вредоносного программного обеспечения (ПО) NFCGate, позволяющего дистанционно управлять чужим смартфоном и делать виртуальные клоны банковских карт. Было зафиксировано не менее 56 тыс. таких ИТ-атак.

F6 — ведущий разработчик технологий для борьбы с киберпреступностью, предотвращения и расследования киберпреступлений в России и за рубежом. ИТ-компания создана при поддержке фонда развития результативной кибербезопасности «Сайберус», однако фонд не будет участвовать в операционном управлении F6. Флагманские ИТ-продукты основаны на знаниях, полученных в ходе многолетних реагирований на ИТ-инциденты и исследований киберпреступности. Решения F6 обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда.

Схемы мошенничества

Один из распространенных способов мошенничества выглядит так: злоумышленники берут за основу легитимное приложение NFCGate для Android (оно предназначено для разработчиков и банков, чтобы копировать и анализировать near field communication (NFC)-трафик). На его базе создается вредоносная версия. Когда пользователь-жертва устанавливает такое приложение, оно просит для проверки или для привязки карты приложить банковскую карту к телефону и ввести PIN-код. В этот момент номер карты, срок действия и введенный PIN мгновенно отправляются мошенникам. С этими данными они могут легко снять деньги со счета жертвы или расплачиваться картой в интернете.

При этом существует обратная версия схемы, когда вместо перехвата NFC-данных карты пользователя хакеры создают на его устройстве клон собственной карты. Затем, когда жертва через банкомат попытается зачислить деньги на свой счет, вся сумма отправится на карту злоумышленника.

«Банки выявляют транзакции через виртуальные NFC-клоны по аномалиям в поведении платежей — например, несоответствие геолокации устройства и места проведения операции, слишком быстрые или частые транзакции и прочее, когда деньги уходят на чужой счет», — сказал руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин.

Аналитики F6 выявили третий вариант кражи денежных средств с помощью NFCGate. Приложение было интегрировано в троян удаленного доступа RatOn, что позволило хакерам незаметно для пользователя похищать деньги не только с его банковского счета, но и с криптокошельков.

По словам представителя F6, вредонос RatOn активируется в три этапа. На первом этапе, пользователь устанавливает приложение-приманку, которое маскируется под популярную программу (например, TikTok или любое другое легитимное приложение). Уже на втором этапе, после запуска под видом якобы обновления автоматически загружается и устанавливается второй android package kit (APK) — троян удаленного доступа (RAT). На третьем этапе, этот троян в свою очередь скачивает и устанавливает третий APK — непосредственно модифицированную версию NFCGate. Таким образом, пользователь-жертва сам, шаг за шагом, устанавливает полноценный ИТ-инструмент для кражи данных банковских карт, даже не подозревая об этом.

RatOn делает снимок экрана каждые 50 микросекунд (мс) и непрерывно передает злоумышленнику все текстовые данные с экрана пользователя, объясняет представитель F6. Мобильное приложение также позволяет подменять чувствительные данные (например, номера банковских счетов), использовать черные окна, чтобы закрывать пользователю экран и скрыть свои действия, выводить на экран нужный текст или открывать вредоносный веб-ресурс, а также отправлять с устройства пользователя SMS, добавил он.

Благодаря этой схеме злоумышленники получают полный контроль над зараженным устройством и могут: незаметно красть деньги с банковских счетов прямо через установленные банковские приложения; компрометировать личные данные, открывая уже авторизованные социальные сети, мессенджеры и другие аккаунты.

К сожалению, ни одна из предыдущих вредоносных модификаций NFCGate не прошла мимо России, отмечает руководитель департамента Fraud Protection компании F6 Дмитрий Ермаков. Тот факт, что ИТ-разработчики предусмотрели для RatOn возможность работать с приложениями на русском языке, указывает на высокий риск дальнейшей модификации вредоноса, опасается Ермаков.

Цели для кибератак

Вредоносные программы RatOn и NFCGate представляют собой новую киберугрозу, объединяя в себе несколько опасных функций, говорит «Ведомостям» директор департамента расследований T.Hunter Игорь Бедеров: они автоматизируют действия в банковских приложениях и обеспечивают дополнительную скрытность своей работы. Это обеспечивает полное управление устройством пользователя-жертвы, обход проверок (подмена номеров счетов при переводе), скрытие следов мошенничества, уточняет он.

В декабре 2025 г. главной целью мошенников все чаще становятся именно банковские приложения на смартфонах, подтверждает Тимофей Воронин. Для этого используются два основных подхода: прямые рассылки вредоносных APK; многоступенчатые схемы, в которых вредоносный APK — лишь финальное звено цепочки. Антивирусы и встроенные средства защиты действительно могут блокировать установку второго и третьего APK (трояна и NFCGate), если те не подписаны правильным сертификатом или ведут себя подозрительно, продолжает эксперт. Однако из-за высокого уровня маскировки и поэтапной загрузки большинство пользователей просто не успевает понять, что происходит т.к. троян полностью разворачивается раньше, чем жертва что-либо заподозрит, сетует Воронин.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка