Как преступники крадут деньги, пользуясь привычной функцией «приложите смартфон для оплаты».
Благодаря удобству технологии NFC и оплаты смартфоном, в наши дни многие вообще перестали носить кошелек и не могут вспомнить ПИН-код от банковской карты. Все карты «живут» в платежном приложении, оплатить которым покупку быстрее и проще, чем доставать физическую карту. Мобильные платежи еще и безопасны — технология разрабатывалась относительно недавно и предусматривает многочисленные защитные меры от мошенничества.
Тем не менее злоумышленники изобрели несколько вариантов злоупотребления NFC для кражи денег с ваших карточек. К счастью, для защиты своих средств достаточно знать об этих трюках и избегать опасных сценариев пользования NFC.
Изначально эта технология не создавалась для преступных целей. Приложение NFCGate появилось в 2015 году как исследовательский инструмент, разработанный студентами Технического университета Дармштадта в Германии. Оно предназначалось для анализа и отладки NFC-трафика, а также для обучения и экспериментов с бесконтактными технологиями. NFCGate распространялся как решение open source и использовался в академической среде и среди энтузиастов.
Спустя пять лет киберпреступники обратили внимание на саму идею ретрансляции NFC. NFCGate стали модифицировать, добавляя в моды работу через сервер злоумышленников, маскировку под полезные программы и сценарии социальной инженерии. Так исследовательский проект превратился в фундамент для целого класса атак, направленных на кражу денег с банковских счетов без физического доступа к карте.
В феврале 2025-го появились связки вредоносного ПО CraxsRAT и NFCGate, позволявшие устанавливать и настраивать ретранслятор с минимальным участием жертвы. Весной 2025 года возникла новая схема — так называемая «обратная» версия NFCGate, где изменился сам способ проведения атаки.
Киберпреступники также упаковали ретрансляцию NFC во вредоносную платформу (Malware-as-a-Service, MaaS) для перепродажи «коллегам по цеху» по подписной модели. В Италии была обнаружена разработка SuperCard X, предположительно китайского происхождения. В мае 2025 года попытки применения SuperCard X были зафиксированы и в России, а в августе — в Бразилии.
По данным исследований, только за первый квартал 2025 года общий ущерб от атак на базе NFCGate в России превысил 400 млн рублей. За третий квартал 2025 года в одной РФ атак с ретрансляцией NFC замечено более 44 тысяч, что в полтора раза больше, чем кварталом ранее.
Сначала мошенники убеждают пользователя установить вредоносное приложение под видом банковского сервиса, обновления, программы «защиты счета» или просто популярного приложения вроде TikTok. После установки приложение получает доступ к NFC и Интернету, зачастую не запрашивая опасных прав или root-доступа. В некоторых версиях дополнительно запрашивается доступ к специальным возможностям Android.
Затем, якобы для подтверждения личности, жертву просят приложить банковскую карту к смартфону. Когда это происходит, вредоносное приложение считывает данные по NFC и немедленно отправляет их на сервер злоумышленников. Оттуда информация передается на другой смартфон, который находится у дропа, помощника преступников по снятию денег. Затем это устройство эмулирует карту жертвы при оплате в терминале или снятии наличных в банкомате.
В ранних версиях атаки преступники просто стояли у банкомата с телефоном наготове, чтобы оперативно воспользоваться картой одураченного пользователя. Впоследствии вредоносное ПО доработали, чтобы данные можно было использовать в магазинах в отложенном режиме, а не в «прямом эфире».
Для жертвы процесс кражи малозаметен: карта не покидает владельца, ее реквизиты вводить или диктовать не требуется, а уведомления о списании денег могут приходить с задержкой или и вовсе перехватываться вредоносным приложением.
Среди тревожных признаков, заставляющих заподозрить проведение прямой NFC-атаки:
Как и в прямой схеме, все начинается с социальной инженерии. Пользователю звонят или пишут, убеждая установить приложение «для бесконтактных платежей», «защиты карт» или даже «работы с цифровым рублем». После установки новое приложение просит сделать себя системой для бесконтактных платежей по умолчанию — и именно этот шаг критически важен. Благодаря ему зловреду не требуется root-доступ — достаточно согласия пользователя.
Затем вредоносное приложение в фоновом режиме подключается к серверу злоумышленников, и на устройство жертвы передаются NFC-данные карты, принадлежащий одному из преступников. Для жертвы этот шаг незаметен.
На следующем этапе жертву направляют к банкомату. Под предлогом «зачисления денег на безопасный счет» или «перевода самому себе» человека просят приложить телефон к NFC-модулю банкомата. В этот момент банкомат фактически работает с картой злоумышленника. ПИН-код жертве диктуют заранее, представляя его как «новый» или «временный».
В результате все внесенные или переведенные жертвой деньги уходят на счет преступников. Признаки этой атаки:
Источник
Благодаря удобству технологии NFC и оплаты смартфоном, в наши дни многие вообще перестали носить кошелек и не могут вспомнить ПИН-код от банковской карты. Все карты «живут» в платежном приложении, оплатить которым покупку быстрее и проще, чем доставать физическую карту. Мобильные платежи еще и безопасны — технология разрабатывалась относительно недавно и предусматривает многочисленные защитные меры от мошенничества.
Тем не менее злоумышленники изобрели несколько вариантов злоупотребления NFC для кражи денег с ваших карточек. К счастью, для защиты своих средств достаточно знать об этих трюках и избегать опасных сценариев пользования NFC.
Что такое ретрансляция NFC и NFCGate
Ретрансляция NFC — это техника, при которой данные, бесконтактно передаваемые между источником (например, банковской картой) и приемником (например, платежным терминалом), перехватываются на одном промежуточном устройстве и в реальном времени передаются на другое. Приложение для ретрансляции устанавливается на два смартфона, связанных через Интернет.Изначально эта технология не создавалась для преступных целей. Приложение NFCGate появилось в 2015 году как исследовательский инструмент, разработанный студентами Технического университета Дармштадта в Германии. Оно предназначалось для анализа и отладки NFC-трафика, а также для обучения и экспериментов с бесконтактными технологиями. NFCGate распространялся как решение open source и использовался в академической среде и среди энтузиастов.
Спустя пять лет киберпреступники обратили внимание на саму идею ретрансляции NFC. NFCGate стали модифицировать, добавляя в моды работу через сервер злоумышленников, маскировку под полезные программы и сценарии социальной инженерии. Так исследовательский проект превратился в фундамент для целого класса атак, направленных на кражу денег с банковских счетов без физического доступа к карте.
История нецелевого использования
Первые атаки с использованием модифицированного NFCGate задокументированы в конце 2023 года в Чехии, а до России схема добралась в августе 2024 года. Уже к началу 2025-го проблема приобрела заметный масштаб: аналитики обнаружили более 80 уникальных вредоносных образцов на базе NFCGate. Атаки быстро эволюционировали, и ретрансляция NFC интегрировалась с другими вредоносными компонентами.В феврале 2025-го появились связки вредоносного ПО CraxsRAT и NFCGate, позволявшие устанавливать и настраивать ретранслятор с минимальным участием жертвы. Весной 2025 года возникла новая схема — так называемая «обратная» версия NFCGate, где изменился сам способ проведения атаки.
Киберпреступники также упаковали ретрансляцию NFC во вредоносную платформу (Malware-as-a-Service, MaaS) для перепродажи «коллегам по цеху» по подписной модели. В Италии была обнаружена разработка SuperCard X, предположительно китайского происхождения. В мае 2025 года попытки применения SuperCard X были зафиксированы и в России, а в августе — в Бразилии.
По данным исследований, только за первый квартал 2025 года общий ущерб от атак на базе NFCGate в России превысил 400 млн рублей. За третий квартал 2025 года в одной РФ атак с ретрансляцией NFC замечено более 44 тысяч, что в полтора раза больше, чем кварталом ранее.
Прямая атака NFCGate
Прямая атака — это первый появившийся сценарий преступного использования NFCGate. В нем смартфон жертвы играет роль «считывателя», а смартфон злоумышленника — эмулятора карты.Сначала мошенники убеждают пользователя установить вредоносное приложение под видом банковского сервиса, обновления, программы «защиты счета» или просто популярного приложения вроде TikTok. После установки приложение получает доступ к NFC и Интернету, зачастую не запрашивая опасных прав или root-доступа. В некоторых версиях дополнительно запрашивается доступ к специальным возможностям Android.
Затем, якобы для подтверждения личности, жертву просят приложить банковскую карту к смартфону. Когда это происходит, вредоносное приложение считывает данные по NFC и немедленно отправляет их на сервер злоумышленников. Оттуда информация передается на другой смартфон, который находится у дропа, помощника преступников по снятию денег. Затем это устройство эмулирует карту жертвы при оплате в терминале или снятии наличных в банкомате.
В ранних версиях атаки преступники просто стояли у банкомата с телефоном наготове, чтобы оперативно воспользоваться картой одураченного пользователя. Впоследствии вредоносное ПО доработали, чтобы данные можно было использовать в магазинах в отложенном режиме, а не в «прямом эфире».
Для жертвы процесс кражи малозаметен: карта не покидает владельца, ее реквизиты вводить или диктовать не требуется, а уведомления о списании денег могут приходить с задержкой или и вовсе перехватываться вредоносным приложением.
Среди тревожных признаков, заставляющих заподозрить проведение прямой NFC-атаки:
- предложение установить приложение не из официальных магазинов;
- требование приложить банковскую карту к смартфону.
Обратная атака NFCGate
Обратная атака — более новая и изощренная схема. В ней смартфон жертвы уже не считывает карту, а эмулирует карту злоумышленника. При этом жертве все действия кажутся абсолютно безопасными — не нужно ни диктовать реквизиты своих карт, ни сообщать кому-то какие-либо коды, ни прикладывать карту к смартфону.Как и в прямой схеме, все начинается с социальной инженерии. Пользователю звонят или пишут, убеждая установить приложение «для бесконтактных платежей», «защиты карт» или даже «работы с цифровым рублем». После установки новое приложение просит сделать себя системой для бесконтактных платежей по умолчанию — и именно этот шаг критически важен. Благодаря ему зловреду не требуется root-доступ — достаточно согласия пользователя.
Затем вредоносное приложение в фоновом режиме подключается к серверу злоумышленников, и на устройство жертвы передаются NFC-данные карты, принадлежащий одному из преступников. Для жертвы этот шаг незаметен.
На следующем этапе жертву направляют к банкомату. Под предлогом «зачисления денег на безопасный счет» или «перевода самому себе» человека просят приложить телефон к NFC-модулю банкомата. В этот момент банкомат фактически работает с картой злоумышленника. ПИН-код жертве диктуют заранее, представляя его как «новый» или «временный».
В результате все внесенные или переведенные жертвой деньги уходят на счет преступников. Признаки этой атаки:
- просьба сменить систему NFC-оплаты по умолчанию;
- информация о новом ПИН-коде;
- сценарий, в котором нужно дойти до банкомата и проделать какие-либо действия с ним по чужой инструкции.
Как защититься от атак через NFC
Атаки с использованием NFC-ретрансляции опираются не столько на технические уязвимости, сколько на доверие пользователей. Защититься от них помогут простые меры предосторожности.- Не соглашайтесь менять систему бесконтактных платежей по умолчанию (Mir Pay, Google Pay, Samsung Pay и так далее).
- Не прикладывайте банковскую карту к смартфону по просьбе посторонних лиц или по запросу приложений. Легитимные приложения иногда используют камеру для сканирования номера карты, но не NFC-считыватель.
- Не выполняйте операции в банкомате по инструкциям посторонних лиц, кем бы они ни представлялись.
- Не устанавливайте приложения, присланные в мессенджерах, соцсетях, по ссылкам в СМС, рекомендованные во время телефонного звонка, даже если они приходят от имени «поддержки» или «полиции».
- Используйте полноценную защиту своих Android-смартфонов, чтобы предотвратить мошеннические звонки, посещение фишинговых сайтов и установку вредоносного ПО.
- Старайтесь использовать только официальные магазины приложений, а если это невозможно — вручную заходите на официальные сайты банков и других организаций для загрузки заведомо чистых версий мобильных приложений. При загрузке из магазина приложений проверяйте отзывы, число загрузок, дату публикации и рейтинг приложения.
- При работе с банкоматом используйте физическую карту, а не смартфон.
- Регулярно проверяйте в настройках NFC смартфона пункт «Платежное приложение по умолчанию». Если видите в списке подозрительные приложения, удалите их немедленно и проведите полную проверку смартфона на заражение другим вредоносным ПО.
- Изучите в настройках Android список приложений, имеющих доступ к службе «Специальные возможности» (Accessibility) — этой функцией часто злоупотребляет вредоносное ПО. Подозрительные приложения нужно либо отключить от «Специальных возможностей», либо удалить.
- Добавьте в записную книжку смартфона официальные номера службы поддержки банков, в которых у вас есть счета, и при малейших подозрениях на обман сразу звоните на горячую линию банка.
- Если карта могла быть скомпрометирована — немедленно заблокируйте ее.
Источник
