Кибермошенники научились перехватывать данные карт владельцев смартфонов на Android

Злоумышленники научились без единого звонка устанавливать на устройства пользователей вредоносный софт, способный дистанционно перехватывать и передавать данные банковских карт. Как сообщила компания F6, атаки на клиентов российских банков осуществляются с использованием связки Android-трояна CraxsRAT и приложения NFCGate.

CraxsRAT проникает на мобильные устройства под видом легитимных приложений и обновлений. После установки предоставляет злоумышленникам возможность удаленного управления, включая выполнение различных действий без ведома пользователя. Далее троян действует в связке с NFCGate — мобильным приложением, на основе которого злоумышленники создали вредоносное ПО. 

«Такая комбинация вредоносов позволяет получить полноценный доступ к мобильному устройству, включая приложения дистанционного банковского обслуживания. Злоумышленники могут перехватывать как уведомления и коды подтверждения от банка, так и авторотационные данные, у них появляется возможность прямого обналичивания средств с карты жертвы за счет перехвата NFC-трафика и компрометации данных карты», — объясняет специалист по противодействию финансовому мошенничеству компании F6 Константин Гребенюк.

Аналитики отмечают, что основной вектор распространения CraxsRAT — социальная инженерия. Злоумышленники рассылают вредоносные APK-файлы, замаскированные под фотоархивы, видеофайлы и различные приложения, через мессенджеры.

NFCGate, в свою очередь, маскируется под различные приложения. Среди них — фейковые приложения госсервисов и ведомств (в том числе ФНС, Банка России, Минцифры), несуществующие приложения госструктур (например, «Защита карт ЦБ РФ», «Госуслуги Верификация», «Сертификат Безопасности», GosSecure), приложения мобильных операторов, популярные антивирусы, приложения для бесплатных звонков через Интернет и т. д. — всего зафиксировано более 100 программ, под видом которых распространяется вредоносное ПО.

Впервые исследователи F6 описали использование NFCGate в преступных целях в январе 2025 года. Общая сумма ущерба от атак на клиентов российских банков с использованием этого вредоносного ПО за первые два месяца 2025 года оценивается почти в 200 млн рублей. За февраль число таких атак увеличилось на 80% по сравнению с январем.

По данным аналитиков F6, по итогам марта 2025 года в России суммарно насчитывалось свыше 180 тысяч скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.

Как защититься от CraxsRAT и NFCGate:

• Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
• Не переходите по ссылкам из СМС и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.
• Не устанавливайте приложения по ссылкам из СМС, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay. Перед установкой обязательно проверяйте отзывы на приложение, обращая особое внимание на негативные отзывы — это поможет определить фейковые и потенциально опасные программы.
• Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
• Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.
• Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте ее, позвонив на горячую линию банка или с использованием банковского приложения.