Новый гибрид NFCGate и трояна RatOn угрожает клиентам российских банков
В России обнаружена новая гибридная угроза для Android — NFCGate, встроенная в троян удалённого доступа RatOn. Вредоносная программа через функции доступности скрыто похищает деньги с банковских счетов и криптокошельков. Ущерб от всех версий NFCGate с начала 2025 года оценивается в 1,6 млрд рублей, а атаки продолжают нарастать. Угроза маскируется под разные приложения.
Компания F6 предупредила о появлении новой вредоносной версии легитимного Android-приложения NFCGate, интегрированной в троян удаленного доступа RatOn. Этот гибрид может в ближайшее время атаковать клиентов ведущих российских банков, позволяя злоумышленникам похищать деньги как с банковских счетов, так и с криптокошельков.
По данным F6, функционал вредоносного ПО изначально предусматривал работу с приложениями на русском языке и использование против пользователей в России. Общий ущерб от всех вредоносных версий NFCGate за 10 месяцев 2025 года в стране оценивается компанией не менее чем в 1,6 млрд рублей. Во второй половине года на так называемую «обратную» версию NFCGate пришлось 52,4% случаев заражения мобильных устройств, по информации МВД России. Количество атак с использованием всех версий NFCGate постепенно росло: с июля по ноябрь 2025 года ежедневно фиксировали от 200 до 300 зараженных устройств, а общее число атак за второе полугодие составило не менее 38 тысяч.
Троян RatOn распространяется через приложение-приманку, мимикрирующее под полезный софт, например, TikTok. После установки оно последовательно загружает еще два APK-файла: троян удаленного доступа и непосредственно NFCGate. Вредоносное приложение получает полный контроль над устройством через сервис Android Accessibility. С его помощью злоумышленники могут запускать мобильный банк, вводить ПИН-код, менять лимиты, совершать переводы, собирать данные из других приложений, подменять информацию на экране и удаленно управлять устройством в реальном времени.
Специалисты компании отмечают, что стремительная эволюция вредоносных версий NFCGate привела к созданию программы, возможности которой значительно превышают предыдущие модификации. Распространение происходит через социальную инженерию: приложения маскируются под госсервисы, антивирусы или программы для платежей.
В рекомендациях для пользователей F6 советует не переходить по ссылкам из сообщений от неизвестных отправителей, не устанавливать приложения из неофициальных источников и не сообщать посторонним данные банковских карт. Для проверки устройства на наличие угрозы рекомендуется проверить, какие приложения имеют доступ к NFC, платежной системе и службе специальных возможностей (Accessibility) Android, и удалить подозрительные.
Для подразделений информационной безопасности банков среди прочих мер предлагается при подозрительных операциях по NFC запрашивать пластиковую карту, учитывать геолокацию и дополнить антифрод-системы событиями банкоматной сети и токенизации.
Читайте также
