Франкенштейн в смартфоне: новый гибрид NFCGate и трояна RatOn готовят к атакам на клиентов российских банков

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, предупреждает о новой вредоносной версии легитимного приложения NFCGate, которая уже в ближайшее время может атаковать клиентов ведущих российских банков. NFCGate интегрирован в троян удалённого доступа RatOn, который позволяет злоумышленникам незаметно для пользователя похищать деньги не только с его банковского счёта, но и криптокошельков. Функционал ВПО поддерживает возможность работы с приложениями на русском языке: его использование против пользователей в России предусмотрено ещё на этапе разработки. Общий ущерб клиентов российских банков от использования всех вредоносных версий NFCGate за 10 месяцев 2025 года составил не менее 1,6 млрд рублей.

Крысиный клуб

Среди всех угроз для клиентов российских банков вредоносные версии NFCGate в 2025 году развивались самыми быстрыми темпами. По итогам 10 месяцев 2025 года общий ущерб от использования всех вредоносных версий NFCGate в России составил не менее 1,6 млрд рублей.

По данным МВД России, во второй половине 2025 года на «обратную» версию NCFGate пришлось больше половины случаев заражений мобильных устройств – 52,4%. По данным F6, во второй половине 2025 года количество атак на клиентов российских банков с использованием всех версий NFCGate постепенно растёт: в июле ежедневно в среднем фиксировали не менее 200 устройств, в ноябре – не менее 300, и тенденций к снижению нет. Общее число таких атак на российских пользователей за второе полугодие – не менее 38 тысяч.

Аналитики департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 готовятся к новому испытанию, которое может ожидать российских пользователей в самом скором времени – это многофункциональный банковский троян RatOn. На фоне предыдущих версий NFCGate его можно назвать Франкенштейном.

Приложение RatOn обнаружили в Чехии исследователи ThreatFabric: этот троян включает в себя не только функционал перехвата NFC-трафика банковских карт, но и широкий набор иных возможностей.

Специалистам F6 удалось получить образец ВПО RatOn и проанализировать его функционал, особенности и перспективы распространения в России. В новом блоге аналитики департамента Fraud Protection представили результаты подробного изучения нового ВПО.

Ключевые выводы:

• Функционал RatOn поддерживает возможность работы с приложениями на русском языке: использование вредоносного приложения против пользователей в России предусмотрено ещё на этапе разработки.
• Новый троян позволяет злоумышленникам похитить деньги с банковского счёта, не привлекая внимания пользователя, а также скомпрометировать данные на устройстве. Для этого преступникам требуется одно: чтобы пользователь установил приложение на Android-устройство и выдал необходимые разрешения. Прикладывать банковскую карту к NFC-модулю, как в более ранних версиях NFCGate, пользователей уже не просят.
• RatOn – это «матрёшка», которая раскрывается в три приёма. Вредоносное приложение-приманка мимикрирует под полезное приложение, в исследованном образце это – TikTok. После его установки на устройство пользователя, вероятно, под видом обновления, устанавливается второй APK-файл – троян удалённого доступа. Затем это приложение устанавливает третий APK-файл – непосредственно NFCGate.
• Приложение получает полную власть над устройством с помощью стандартного сервиса Android Accessibility. Это встроенный в операционную систему Android набор функций и инструментов, предназначенных для помощи пользователям с ограниченными возможностями.
• RatOn даёт возможность злоумышленникам запустить на устройстве жертвы мобильное приложение банка и ввести ПИН-код, изменить дневной лимит платежей и производить автоматизированный перевод денег на счёт, который злоумышленники указали в коде ВПО.
• Приложение позволяет собирать большой объём данных с устройства жертвы, в том числе – извлекать их из установленных приложений. RatOn открывает социальные сети и мессенджеры, автоматически переходит в окно профиля и получает текстовую информацию о пользователе.
• Для удаленного управления устройством в режиме реального времени приложение делает снимок экрана каждые 50 мс, непрерывно передаёт видео либо каждые полсекунды – все текстовые данные с экрана пользователя.
• Приложение позволяет подменять чувствительные данные (например, номера банковских счетов), использовать «чёрные окна», чтобы закрывать пользователю экран и тем самым скрыть свои действия, выводить на экран нужный текст или открывать вредоносный веб-ресурс, а также отправлять с устройства пользователя СМС.
• RatOn может заставить пользователя сменить пароль от устройства, а затем перехватить новый пароль.
• Приложение способно создать на устройстве жертвы новые контакты и подменить номер телефона в контактах.

Эволюция угрозы

Софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт, в 2025 году стал одной из главных угроз для клиентов банков во многих странах мира, включая Россию. Стремительная эволюция вредоносных версий легитимного Android-приложения NFCGate привела к появлению программы, преступные возможности которой значительно превышают все предыдущие модификации.

На момент публикации первого исследования F6 в январе 2025 года наши эксперты обнаружили свыше 100 уникальных образцов вредоносного ПО для Android на основе NFCGate, их число постоянно увеличивалось. Весной к «прямой» версии NFCGate добавилась «обратная». Тогда же злоумышленники впервые начали использовать связку NFCGate и трояна удалённого доступа CraxsRAT, которая сразу закрепилась в арсенале мошенников как один из ключевых инструментов.

Киберпреступники с помощью социальной инженерии распространяют такие вредоносные приложения под видом полезных. Например, приложений госсервисов, ведомств и мобильных операторов, популярных антивирусов, программ для бесконтактных платежей, видеосвязи и бесплатных звонков через интернет.

Подробности исследования, индикаторы компрометации, рекомендации по защите от новой опасной версии NFCGate – в блоге на сайте F6. Детали схем финансового мошенничества с использованием всех версий NFCGate можно узнать из Базы знаний F6 Fraud Matrix.

«Ни одна из предыдущих вредоносных модификаций NFCGate не прошла мимо России. Так было с первыми версиями NFCGate, которые злоумышленники впервые применили именно в Чехии. Так было с приложением SuperCard, которое обнаружили в Италии, а затем злоумышленники тестировали его в России. Эта тенденция, а также тот факт, что разработчики предусмотрели для RatOn возможность работать с приложениями на русском языке, указывают на высокий риск дальнейшей модификации этого вредоноса для атак на клиентов российских банков».

Дмитрий Ермаков

Руководитель департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6

Как защититься от вредоносных версий NFCGate

Рекомендации специалистов F6 для пользователей

• Не вступайте в переписку с неизвестными в мессенджерах, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
• Не переходите по ссылкам из СМС и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.
• Не устанавливайте приложения по рекомендациям незнакомцев, по ссылкам из СМС, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay. Перед установкой обязательно проверяйте отзывы о приложении, обращайте особое внимание на негативные отзывы – это поможет определить фейковые и потенциально опасные программы.
• Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на официальном сайте банка, и уточните, действительно ли полученное вами предложение исходит от банка.
• Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк.
• Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.
• Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.
• Не удаляйте банковские приложения из телефона по запросу посторонних. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.

Как узнать, установлена ли на вашем устройстве одна из известных версий NFCGate

1. Проверьте в настройках устройства, какие приложения имеют разрешение на управление модулем NFC. Если на устройстве вы обнаружили подозрительное приложение, имеющее такое разрешение, но вы не знаете, для чего оно вам нужно, вы не устанавливали либо установили по рекомендации неизвестных, рекомендуем удалить такое приложение.
2. Проверьте, какие приложения имеют доступ к платежной системе устройства. Если в качестве платежной системы по умолчанию выбрано подозрительное приложение, которое вы не устанавливали либо установили по рекомендации неизвестных, функционал которого вам не известен, также рекомендуем удалить такое приложение.
3. Проверьте в настройках Android-устройства статус службы Accesibility («Специальные возможности»). Если служба на устройстве запущена, необходимо проверить, какие приложения имеют к ней доступ. Если среди них вы обнаружили подозрительное приложение, которое имеет такое разрешение, но вы не знаете, для чего оно вам нужно, вы не устанавливали его либо установили по рекомендации неизвестных, рекомендуем удалить такое приложение.

Рекомендации специалистов F6 для подразделений информационной безопасности банков

• При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту.
• Учитывать данные геолокации пользователей.
• Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
• Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.

Например, для оценки риска транзакции и проверки получателя (KYC – know your customer, «знай своего клиента») модули решения F6 Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.