Союз списания: киберпреступники используют связку CraxsRAT и NFCGate в атаках на клиентов банков

Привет, на связи команда компании F6!

Киберпреступники постоянно изобретают новые схемы и берут на вооружение новые инструменты, но наши эксперты всегда начеку. Мы обнаружили новые атаки на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate.

Теперь злоумышленники могут без единого звонка устанавливать на устройства пользователей вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт. В марте 2025 года в России суммарно насчитывалось свыше 180 тыс. скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.

Франкенштейн в смартфоне

В первом квартале 2025 года решение F6 Fraud Protection зафиксировало увеличение доли скомпрометированных устройств пользователей из России, на которых одновременно используются Android-троян CraxsRAT и вредоносный софт на основе легитимной программы NFCGate. В отчёте F6 указанные приложения были названы среди главных угроз для клиентов российских банков в 2025 году, и наш прогноз оказался точным.

Что такое CraxsRAT?

CraxsRAT – многофункциональный Android-троян, изначально созданный на исходных кодах вредоносного ПО SpyNote. Проникает на мобильные устройства под видом легитимных приложений и обновлений. После установки предоставляет злоумышленникам возможность удалённого управления, включая выполнение различных действий без ведома пользователя. Впервые наши исследователи описали CraxsRAT в октябре 2024 года.

По нашим данным, в феврале 2025 года число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрём 2024 года, а количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 000.

Что такое NFCGate?

NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 году. На его основе злоумышленники создали вредоносное ПО. При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести пин-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счета пользователя в банкомате. Впервые наши исследователи описали использование NFCGate в преступных целях в январе 2025 года.

Общая сумма ущерба от атак на клиентов российских банков с использованием вредоносного ПО на основе NFCGate за первые два месяца 2025 года оценивается почти в 200 млн рублей. За февраль число таких атак увеличилось на 80% по сравнению с январем. С начала года атакам подверглась лишь малая часть из заражённых устройств – более 1200. Общее число скомпрометированных Android-устройств, на которых установлены вредоносные версии NFCGate, по итогам февраля превысило 158 000 и продолжает расти.

Звонить больше не нужно

В начале 2025 года для доставки NFCGate на устройства пользователей злоумышленники предпочитали использовать телефонные звонки и сообщения в мессенджерах. Под предлогами «защиты» банковской карты, получения более выгодных условий от банка, взлома личного кабинета «Госуслуг», продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, требований безопасности, подтверждения личности жертву убеждали в необходимости установки специального мобильного приложения.

Сейчас злоумышленники всё чаще выбирают троян CraxsRAT для доставки NFCGate на устройства пользователей. На это указывает увеличение доли устройств, на которых одновременно используются CraxsRAT и NFCGate. Кроме того, мы обнаружили в даркнете объявления об аренде вредоносного софта, объединяющего возможности этих приложений.

Совместное применение CraxsRAT и NFCGate значительно расширяет возможности злоумышленников для кражи денег клиентов банков. Главная опасность такой связки ВПО заключается в том, что мошенникам больше не нужно звонить и убеждать пользователя в необходимости установить «приложение». Для передачи преступникам контроля над своим смартфоном достаточно неосторожно установить одно приложение, замаскированное под полезную программу. Так злоумышленники получат полный доступ ко всем банковским приложениям, возможность перехватывать уведомления и коды подтверждения, а также обналичивать похищенные со счетов деньги.

Грабитель притворился защитником

Мы проанализировали технику проникновения CraxsRAT и NFCGate на устройства пользователей.

Основной вектор распространения CraxsRAT – социальная инженерия. Через мессенджеры, такие как WhatsApp и Telegram, злоумышленники рассылают вредоносные APK-файлы, замаскированные под фотоархивы, видеофайлы и различные приложения. Наши специалисты департамента киберразведки (Threat Intelligence) и департамента противодействия финансовому мошенничеству (Fraud Protection) в ходе исследования обнаружили более 140 уникальных образцов CraxsRAT.

В топ-10 «масок» этого вредоносного приложения входят:

• «Фотографии.apk», «Photo.apk» и «Мои голые видео.apk»;
• приложения госсервисов и ведомств («Госуслуги», «Минздрав», «Минцифры», «Центральный банк РФ» и т.д.);
• фейковое приложение «ГосЗащита»;
• приложения для работы с документами;
• приложения для просмотра видео;
• приложения для обработки фотографий;
• приложения мобильных операторов России и Беларуси;
• популярные антивирусы;
• приложения для защиты от спам-звонков;
• «теневые» версии Telegram и другие модули для мессенджера (например, Telegram Video Player).

Также мы обнаружили свыше 100 уникальных образцов ВПО для Android на основе NFCGate.

Топ-10 фейковых приложений, под которые маскируется такой вредоносный софт:

• приложения госсервисов и ведомств (в том числе ФНС, Банка России, Минцифры);
• несуществующие приложения госструктур (например, «Защита карт ЦБ РФ», «Госуслуги Верификация», «Сертификат Безопасности», «GosSecure»);
• «Поддержка»;
• 5G;
• приложения мобильных операторов;
• популярные антивирусы;
• приложения для бесплатных звонков через интернет;
• приложения для видеосвязи;
• программы для бесконтактных платежей;
• приложение для диагностики автомобилей.

Рекомендации для пользователей, как защититься от CraxsRAT и NFCGate

• Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
• Не переходите по ссылкам из смс и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.
• Не устанавливайте приложения по ссылкам из смс, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay. Перед установкой обязательно проверяйте отзывы на приложение, обращая особое внимание на негативные отзывы – это поможет определить фейковые и потенциально опасные программы.
• Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
• Не сообщайте посторонним CVV и PIN-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.
• Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.

С рекомендациями для подразделений информационной безопасности банков вы можете ознакомиться здесь.

Чтобы оставаться в курсе актуальных новостей в сфере информационной безопасности и подписывайтесь на канал «F6. Борьба с киберпреступностью», а также на наш остросюжетный телеграм-канал.