Злоумышленники не первый год проводят финансовые махинации через вредоносные приложения на базе NFCGate, функционал которого основывается на бесконтактной оплате со смартфона. В частности, в последнее время широкое распространение получил сервис SuperCard, который маскируется под полезное ПО. Схожим образом мошенники действовали и раньше, выдавая модификации NFCGate, например, за приложения банков, при этом копируя NFC-трафик с карты жертвы для удаленного снятия с денег с банкомата или переводя себе деньги жертвы. Подробнее о том, какие схемы использовали мошенники, какой ущерб они причинили россиянам и как сохранить свои деньги — в материале URA.RU.
Мошенники воруют деньги через SuperCard
Мошенники начали использовать в России новое вредоносное приложение SuperCard, основанное на базе NFCGate, для кражи средств со счетов через перехват данных банковских карт. Об этом сообщила компания F6 (ранее — F.A.C.C.T.), занимающаяся разработкой решений для борьбы с киберпреступлениями, их сообщение передает РБК.
Первые попытки атак на клиентов российских банков с помощью SuperCard специалисты зафиксировали в мае 2025 года. Аналогичные атаки с использованием SuperCard были зафиксированы этой весной в Европе.
SuperCard — это модификация программы NFCGate, предназначенной для захвата, мониторинга и анализа трафика NFC, которая в дальнейшем позволяет злоумышленникам красть деньги прямо с банковских счетов. Схема распространения SuperCard такова: вредоносные версии продавали через даркнет и telegram-каналы, маскируя их под популярные сервисы. Акцент делался на рекламе через telegram-каналы с подписной моделью и сервисной поддержкой клиентов.
Эксперты F6 подчеркивают, что SuperCard отличается от других вредоносных модификаций NFCGate по структуре кода и функционалу. Это связано с тем, что разработкой программ занимались разные группы злоумышленников.
Как мошенники используют NFCGate
Начало мошеннической активности
Приложение NFCGate было разработано немецкими студентами в 2015 году и предназначалось для отслеживания операций с NFC. Оно свободно распространялось в интернете. Однако в 2023 году его впервые использовали для преступных целей.
В России его часто маскировали под такие сервисы, которые вызывают у населения доверие: «Госуслуги Верификация», «ЦБРезерв+», «Защита ЦБ РФ», «Сертификат безопасности» или многие другие. По данным специалистов, в 2024 году в сети обнаружено более 100 различных образцов этого ПО.
Кража через клоны банковских приложений
Через модификации NFCGate преступники получили доступ к средствам жертв без необходимости ввода PIN-кода, используя уязвимости в технологиях бесконтактной оплаты. Для этого, в частности, используются поддельные карты и модифицированные приложения, сообщают аналитики F6, их слова передает портал Tadviser.
По информации F6, такие атаки фиксировались с октября 2024 года и были направлены против клиентов крупнейших российских банков. Для реализации схемы мошенники создают APK-файлы на базе модифицированного инструмента NFCGate. Такие приложения имитируют работу легальных банковских или государственных сервисов, что позволяет злоумышленникам перехватывать NFC-трафик между картой пользователя и терминалом — этот трафик в режиме реального времени передается злоумышленнику, который ждет в этот момент у банкомата и сразу снимает деньги.
Мошенники заставляют жертв переводить деньги
Эксперты отмечают, что преступники применяют также так называемую реверс-схему. В этом случае приложение ретранслирует NFC-трафик сторонней банковской карты на устройство пользователя. В результате, когда клиент подходит к банкомату с целью зачисления средств на свой счет, он фактически авторизует карту злоумышленника и переводит деньги на нее. При этом мошенники не запрашивают у жертвы конфиденциальную информацию — например, не просят код из SMS-сообщения, а наоборот, предоставляют «новый» PIN-код якобы для собственной безопасности пользователя.
Подобные атаки усложняют задачу по выявлению мошенников. Они требуют от клиентов банков повышенного внимания при использовании бесконтактных сервисов и банковских приложений, подчеркнули в F6.
«После установки малвари [вредоносное ПО ] злоумышленники просят сделать ее приложением по умолчанию для NFC-платежей, а затем убеждают пользователя отправиться к банкомату, якобы для внесения средств на счет. На самом деле деньги уходят на карту преступников, эмулированную через зараженное устройство», — говорится в исследовании специалистов F6, которое приводит ресурс по информбезопасности "хакер.ру".
Цифровой рубль и улучшение вредоносного ПО
По данным аналитиков, весной 2025 года мошенники стали предлагать клиентам ведущих банков внести деньги на счет цифрового рубля, что повысило количество атак. При этом злоумышленники не требуют передачи SMS-кодов или другой конфиденциальной информации, чтобы не вызывать подозрений. Достаточно того, что жертва установит вредонос и введет новый PIN-код, якобы от своей карты.
Разработчики новой версии NFCGate улучшили маскировку вредоносного приложения: оно скрывается из списка программ на устройстве, что затрудняет его обнаружение. Для атак используется минимальный набор разрешений, а антивирусы пока не способны распознавать эту модификацию. По итогам марта 2025 года число подтвержденных атак превысило тысячу, средний ущерб составил около 100 тысяч рублей, а количество скомпрометированных устройств достигло 175 тысяч. Вредоносное ПО уже продается в даркнете по цене от 15 тысяч долларов или сдается в аренду.
У россиян украли сотни миллионов
В 2024 году за два месяца клиенты российских банков лишились 40 миллионов рублей из-за атак с использованием вредоносного приложения для перехвата данных банковских карт через NFC. Схема действовала такая: пользователь устанавливал приложение, проходил верификацию, приложив карту к NFC-модулю смартфона. В этот момент все данные карты и PIN-коды передаются преступникам.
Однако кража средств может происходить не сразу: программа способна записывать данные карты жертвы для их дальнейшего использования. Эксперты предупреждают о риске появления новых функций в подобных приложениях, включая возможность перехвата SMS и push-уведомлений. В декабре 2024 — январе 2025 года зарегистрировано около 400 случаев атак с помощью NFCGate, средний ущерб одной жертве составил порядка 100 тысяч рублей.
Аналитики F6 прогнозировали рост числа подобных кибератак на пользователей устройств Android на 25–30% ежемесячно. Преступники могут удаленно устанавливать вредоносное ПО с помощью троянов удаленного доступа. Если владелец карты не заблокирует ее после первого инцидента, злоумышленники смогут неоднократно списывать средства, используя данные для токенизации и совершения покупок.
Отмечалось, что общий ущерб россиян от вредоносных модификаций NFCGate по итогу первого квартала 2025 года составил 432 миллиона рублей. Таким образом, с января по март мошенники совершали около 40 успешных атак, средняя сумма ущерба составила 120 тысяч рублей.
Как бороться с новой скрытой угрозой
В России выявлено не менее 114 тысяч устройств на базе Android, зараженных приложением NFCGate с вредоносными модификациями. Об этом сообщили на портале «Банки.ру».
Злоумышленники распространяют вредоносные программы двумя способами: через методы социальной инженерии и телефонное мошенничество, когда пользователь самостоятельно устанавливает вредоносное приложение с фишингового сайта, а также с помощью троянов удаленного доступа, которые устанавливают NFCGate без ведома владельца устройства. К январю 2025 года специалисты выявили более 100 различных вариантов вредоносного ПО на основе NFCGate.
После установки на смартфон эти программы сразу требуют от пользователя верифицировать карту, приложив ее к телефону через NFC-модуль. В этот момент данные карты автоматически передаются мошенникам, подчеркивают специалисты F6, слова которых передает РБК.
Для предотвращения таких инцидентов специалисты рекомендуют устанавливать приложения исключительно из официальных магазинов, таких как RuStore и Google Play. Кроме того, они советуют не разглашать CVV и ПИН-коды третьим лицам, проверять адреса сайтов перед скачиванием программ и использовать сервис Whois для проверки доменов. При малейшем подозрении на компрометацию банковской карты следует незамедлительно заблокировать ее через банк. Также важно избегать ввода личных данных на сомнительных ресурсах и внимательно относиться к разрешениям, которые запрашивает приложение при установке.
Также пользователи могут самостоятельно проверить свои устройства: большинство мобильных антивирусов успешно обнаруживают ПО на базе NFCGate. Кроме того, специалисты рекомендуют обратить внимание на разрешения приложений: если неизвестная программа имеет доступ к NFC-модулю и СМС, ее следует немедленно удалить. Вредоносное ПО на базе NFCGate не обладает сложными механизмами скрытого присутствия, поэтому удалить его с устройства не составляет труда.
Мнение экспертов
Специалисты Национальной системы платежных карт (НСПК, оператор платежной системы «Мир») совместно с банками и правоохранительными органами уже разработали ряд мер и методик для защиты граждан от нового способа мошенничества. Об этом заявил директор департамента безопасности НСПК Артем Гутник на форуме «Кибербезопасность в финансах» в марте нынешнего года, его слова передает ТАСС. Он подчеркнул, что работа по выявлению и пресечению подобных преступлений продолжается.
По его словам, проблема использования такого рода приложений появилась относительно недавно — примерно за последние полгода или год. «На самом деле, мошенники тоже не стоят на месте. И сейчас основной тренд — NFCGate. Поскольку данные с карты скопировать невозможно, мошенники вводят жертву в заблуждение, просят установить на телефон жертвы специализированное программное обеспечение. Человек ставит это программное обеспечение у себя на телефоне, а в этот момент злоумышленник уже со своим смартфоном стоит возле банкомата. Аферисты просят человека прислонить карту к своему телефону и запустить это приложение. Оно выступает в роли моста. По сути, данные с карты передаются через интернет на телефон мошенника, и он снимает деньги», — рассказал Гутник.
Сохрани номер URA.RU - сообщи новость первым!
Не упустите шанс быть в числе первых, кто узнает о главных новостях России и мира! Присоединяйтесь к подписчикам telegram-канала URA.RU и всегда оставайтесь в курсе событий. Подписаться на URA.RU.
