Новости

Союз списания: киберпреступники используют связку CraxsRAT и NFCGate в атаках на клиентов банков

Союз списания: киберпреступники используют связку CraxsRAT и NFCGate в атаках на клиентов банков

02.04.2025
Союз списания: киберпреступники используют связку CraxsRAT и NFCGate в атаках на клиентов банков

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, обнаружила новые атаки на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate. Теперь злоумышленники могут без единого звонка устанавливать на устройства пользователей вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт. По данным аналитиков F6, в марте 2025 года в России суммарно насчитывалось свыше 180 тыс. скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.

Франкенштейн в смартфоне

В первом квартале 2025 года решение F6 Fraud Protection зафиксировало увеличение доли скомпрометированных устройств пользователей из России, на которых одновременно используются Android-троян CraxsRAT и вредоносный софт на основе легитимной программы NFCGate. В отчёте F6 указанные приложения были названы среди главных угроз для клиентов российских банков в 2025 году, и наш прогноз оказался точным.

CraxsRAT – многофункциональный Android-троян, изначально созданный на исходных кодах вредоносного ПО SpyNote. Проникает на мобильные устройства под видом легитимных приложений и обновлений. После установки предоставляет злоумышленникам возможность удалённого управления, включая выполнение различных действий без ведома пользователя. Впервые исследователи F6 описали CraxsRAT в октябре 2024 года.

По данным аналитиков F6, в феврале 2025 года число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрём 2024 года, а количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 000.

NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 году. На его основе злоумышленники создали вредоносное ПО. При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести пин-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счета пользователя в банкомате. Впервые исследователи F6 описали использование NFCGate в преступных целях в январе 2025 года.

Общая сумма ущерба от атак на клиентов российских банков с использованием вредоносного ПО на основе NFCGate за первые два месяца 2025 года оценивается почти в 200 млн рублей. За февраль число таких атак увеличилось на 80% по сравнению с январем. С начала года атакам подверглась лишь малая часть из заражённых устройств – более 1200. Общее число скомпрометированных Android-устройств, на которых установлены вредоносные версии NFCGate, по итогам февраля превысило 158 000 и продолжает расти.

Звонить больше не нужно

В начале 2025 года для доставки NFCGate на устройства пользователей злоумышленники предпочитали использовать телефонные звонки и сообщения в мессенджерах. Под предлогом «защиты» банковской карты, получения более выгодных условий от банка, взлома личного кабинета «Госуслуг», продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, требований безопасности, подтверждения личности жертву убеждали в необходимости установки специального мобильного приложения.

Сейчас злоумышленники всё чаще выбирают троян CraxsRAT для доставки NFCGate на устройства пользователей. На это указывает увеличение доли устройств, на которых одновременно используются CraxsRAT и NFCGate. Кроме того, специалисты F6 обнаружили в даркнете объявления об аренде вредоносного софта, объединяющего возможности этих приложений.

Совместное применение CraxsRAT и NFCGate значительно расширяет возможности злоумышленников для кражи денег клиентов банков. Главная опасность такой связки ВПО – в том, что мошенникам больше не нужно звонить и убеждать пользователя в необходимости установить «приложение». Для передачи преступникам контроля над своим смартфоном достаточно неосторожно установить одно приложение, замаскированное под полезную программу. Так злоумышленники получат полный доступ ко всем банковским приложениям, возможность перехватывать уведомления и коды подтверждения, а также обналичивать похищенные со счетов деньги.

Грабитель притворился защитником

Специалисты F6 проанализировали технику проникновения CraxsRAT и NFCGate на устройства пользователей.

Основной вектор распространения CraxsRAT – социальная инженерия. Через мессенджеры, такие как WhatsApp и Telegram, злоумышленники рассылают вредоносные APK-файлы, замаскированные под фотоархивы, видеофайлы и различные приложения. Специалисты департамента киберразведки (Threat Intelligence) и департамента противодействия финансовому мошенничеству (Fraud Protection) компании F6 в ходе исследования обнаружили более 140 уникальных образцов CraxsRAT.

В топ-10 «масок» этого вредоносного приложения входят:

  • «Фотографии.apk», «Photo.apk» и «Мои голые видео.apk»;
  • приложения госсервисов и ведомств («Госуслуги», «Минздрав», «Минцифры», «Центральный банк РФ» и т.д.);
  • фейковое приложение «ГосЗащита»;
  • приложения для работы с документами;
  • приложения для просмотра видео;
  • приложения для обработки фотографий;
  • приложения мобильных операторов России и Беларуси;
  • популярные антивирусы;
  • приложения для защиты от спам-звонков;
  • «теневые» версии Telegram и другие модули для мессенджера (например, Telegram Video Player).

Также специалисты F6 обнаружили свыше 100 уникальных образцов ВПО для Android на основе NFCGate.

Топ-10 фейковых приложений, под которые маскируется такой вредоносный софт:

  • приложения госсервисов и ведомств (в том числе ФНС, Банка России, Минцифры);
  • несуществующие приложения госструктур (например, «Защита карт ЦБ РФ», «Госуслуги Верификация», «Сертификат Безопасности», «GosSecure»);
  • «Поддержка»;
  • 5G;
  • приложения мобильных операторов;
  • популярные антивирусы;
  • приложения для бесплатных звонков через интернет;
  • приложения для видеосвязи;
  • программы для бесконтактных платежей;
  • приложение для диагностики автомобилей.

«Используя связку CraxsRAT и NFCGate, злоумышленники могут вывести деньги со счетов пользователя без единого звонка. Это открывает для преступников новые возможности как для операций по обналичиванию похищенных средств, так и для полного цикла мошенничества. Такая комбинация вредоносов позволяет получить полноценный доступ к мобильному устройству, включая приложения дистанционного банковского обслуживания. Злоумышленники могут перехватывать как уведомления и коды подтверждения от банка, так и авторотационные данные, у них появляется возможность прямого обналичивания средств с карты жертвы за счет перехвата NFC-трафика и компрометации данных карты», – объясняет Константин Гребенюк, специалист по противодействию финансовому мошенничеству компании F6.

Как защититься от CraxsRAT и NFCGate. Рекомендации специалистов F6 для пользователей.

  • Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.
  • Не переходите по ссылкам из смс и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.
  • Не устанавливайте приложения по ссылкам из смс, сообщений в мессенджерах, писем и подозрительных сайтов. Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay. Перед установкой обязательно проверяйте отзывы на приложение, обращая особое внимание на негативные отзывы – это поможет определить фейковые и потенциально опасные программы.
  • Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.
  • Не сообщайте посторонним CVV и PIN-коды банковских карт, логины и пароли для входа в онлайн-банк. Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.
  • Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.

Рекомендации специалистов F6 для подразделений информационной безопасности банков.

  • Исключить общение с клиентами в мессенджерах. Уведомить клиентов, что сотрудники банка не используют мессенджеры для связи с клиентами.
  • При подозрительных авторизациях и операциях в банкомате по NFC запрашивать у пользователя пластиковую карту.
  • Учитывать данные геолокации пользователей.
  • Реализовать дополнительные меры защиты на устройстве пользователя по выявлению сторонних вредоносных приложений.
  • Дополнить антифрод-системы событиями банкоматной сети и событиями токенизации.

Защититься от подобных операций банкам помогают антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа. Например, для оценки риска транзакции и проверки получателя (KYC, know your customer) модули решения F6 Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.


Популярные материалы
06.10.2024
Обзор средств доверенной загрузки
29.10.2024
Автоматизированный SOC, NGFW и багбаунти: итоги года и прогнозы на 2024
14.11.2024
Аналитическое сравнение российских продуктов по управлению уязвимостями
24.08.2024
Безопасное хранение паролей в компании, или Что еще умеет Пассворк?
21.12.2024
Как стать хакером с нуля? Что нужно знать и уметь, где учиться?
12.12.2024
Этичный хакинг: что это такое и где применяется? Кто такие белые хакеры?
22.12.2024
Пентест или тестирование на проникновение: слабости в обороне компаний, актуальные в 2023 году
30.10.2024
SIEM-системы в России - что это, какие популярные решения применяются
19.10.2024
ГосСОПКА: какие перспективы у цифрового щита России?
30.10.2024
Обзор платформ для практического обучения: направления Offensive и Defensive
12.12.2024
Кардинг: технологичное мошенничество или проверка на внимательность?
17.12.2024
Утечка данных: как случается и что с ними делать
31.12.2024
Аналитическое сравнение российских систем SGRC (Security Governance, Risk and Compliance)
25.10.2024
Денис Полянский, директор по клиентской безопасности Selectel: Необходимо максимально распространить свою ИБ-стратегию на подрядчика
09.10.2024
Критическая информационная инфраструктура (КИИ): инструкция по выявлению и категорированию объектов
10.11.2024
Импортозамещение в ИБ: как указ президента №250 меняет крупнейшие российские компании
16.09.2024
Новые возможности продукта Security Vision Risk Management (RM)
17.01.2025
SOC (Security Operation Center): для чего компании нужен центр мониторинга кибербезопасности
15.11.2024
СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ
20.01.2025
Как работают TLS-сертификаты Минцифры
06.12.2024
Ситуационные центры России: готова ли государственная информационная инфраструктура к актуальным внешним условиям?
19.01.2025
XDR, DLP, IDS: какое ИБ-решение выбрать
04.11.2024
Банк угроз ФСТЭК: использовать нельзя игнорировать
27.11.2024
Anonymous vs Killnet: история группировок
05.09.2024
Astra Linux Special Edition: обзор защищенной российской ОС
16.10.2024
Менеджеры паролей - 7 лучших решений для бизнеса