В России нашли новый банковский троян

Гибрид легитимного приложения NFCGate и трояна удалённого доступа RatOn выявлен в России. За 10 месяцев 2025 года вредоносные версии NFCGate нанесли ущерб минимум на 1,6 млрд рублей.

По данным МВД России, во второй половине года на вредонос пришлось 52,4% заражений мобильных устройств, зарегистрировано более 38 тыс. атак. Если в июле фиксировалось в среднем 200 заражённых устройств ежедневно, то в ноябре — уже 300. Доказано использование ВПО против российских пользователей: хакеры ещё на этапе разработки заложили функционал на русском языке.

Новый троян позволяет похитить деньги с банковского счёта и криптокошельков, не привлекая внимания пользователя. Преступникам нужно лишь, чтобы пользователь установил приложение на Android-устройство и выдал разрешения. Прикладывать карту к NFC-модулю, как раньше, уже не просят.

Специалисты F6 проанализировалиобразец ВПО. По их данным, RatOn работает как «матрёшка»: в три приёма. Приманка мимикрирует под полезное приложение, в исследованном образце — под TikTok. После установки, вероятно под видом обновления, ставится второй APK-файл – троян доступа, затем третий APK – непосредственно NFCGate. Приложение получает контроль через стандартный сервис Android Accessibility — набор функций для помощи пользователям с ограниченными возможностями.

Новый вредонос даёт злоумышленникам возможность запустить мобильное приложение банка, ввести ПИН-код, изменить дневной лимит платежей и производить автоматизированный перевод на счёт, указанный в коде ВПО. Приложение собирает большой объём данных с устройства, извлекает их из установленных приложений, открывает соцсети и мессенджеры, получает текстовую информацию о пользователе.

Для удалённого управления оно в реальном времени делает снимок экрана каждые 50 мс, непрерывно передаёт видео либо каждые полсекунды отправляет текстовые данные с экрана. Троян подменяет чувствительные данные, например номера счетов. Использует чёрные окна, чтобы закрывать экран и скрывать действия. Выводит нужный текст, открывает вредоносные веб-ресурсы, отправляет СМС. Может заставить сменить пароль от устройства, затем перехватить новый. Создаёт новые контакты и подменяет номера в существующих.

В январе кибербез-эксперты обнаружили 100 уникальных образцов вредоносного ПО на основе NFCGate. Весной к «прямой» версии добавилась «обратная». Тогда же злоумышленники впервые начали использовать связку NFCGate и трояна CraxsRAT — она закрепилась в арсенале мошенников как ключевой инструмент. Киберпреступники распространяют вредоносные приложения под видом полезных через социальную инженерию, маскируются под приложения госсервисов, ведомств, мобильных операторов, антивирусов, программ для бесконтактных платежей, видеосвязи и звонков через интернет.

Как отметили специалисты по кибербезопасности, ни одна вредоносная модификация NFCGate не прошла мимо России. Так было с первыми версиями, которые впервые применили в Чехии, так было с приложением SuperCard, обнаруженным в Италии и затем протестированным в России. Эта тенденция и тот факт, что разработчики предусмотрели для RatOn работу с приложениями на русском языке, указывают на высокий риск дальнейшей модификации вредоноса для атак на клиентов российских банков.