Компания F6 предупредила о критической угрозе для клиентов российских банков: за 10 месяцев 2025 года вредоносные версии приложения NFCGate причинили ущерб не менее 1,6 млрд рублей, зафиксировав более 56 тысяч атак. Это самая быстрорастущая угроза для мобильного банкинга в текущем году.
NFCGate — изначально легитимное Android-приложение, разработанное в 2015 году студентами Дармштадтского технического университета для учебных целей. Программа предназначалась для захвата, мониторинга и анализа NFC-трафика. Однако киберпреступники модифицировали его для дистанционного перехвата данных банковских карт через NFC-модули смартфонов.
По данным МВД России, во второй половине 2025 года на «обратную» версию NFCGate пришлось больше половины случаев заражений мобильных устройств — 52,4%. Количество атак постоянно растет: в июле ежедневно фиксировали не менее 200 зараженных устройств, в ноябре — уже не менее 300, и тенденций к снижению нет.
Особую опасность представляет новая гибридная версия, интегрированная в троян удаленного доступа RatOn. Этот «франкенштейн» позволяет злоумышленникам незаметно для пользователя похищать деньги не только с банковского счета, но и из криптокошельков. Функционал вредоносного ПО поддерживает работу с приложениями на русском языке, что указывает на целенаправленную ориентацию на российских пользователей еще на этапе разработки.
Вредоносное приложение маскируется под легитимные сервисы популярных госструктур, Центрального банка, ФНС и банковских приложений. После установки программа предлагает жертве пройти верификацию, приложив банковскую карту к обратной стороне смартфона. Данные моментально передаются на устройство злоумышленника, который может немедленно снять деньги в банкомате или сохранить информацию для последующей токенизации карты.
Аналитики F6 выявили, что преступники готовят новую модификацию с возможностью перехвата СМС и push-уведомлений, а также планируют распространять вредоносное ПО по модели Malware-as-a-Service (MaaS).