Атаки на бесконтактные платежи по NFC

Благодаря удобству технологии NFC и оплаты смартфоном, в наши дни многие вообще перестали носить кошелек и не могут вспомнить ПИН-код от банковской карты. Все карты «живут» в платежном приложении, оплатить которым покупку быстрее и проще, чем доставать физическую карту. Мобильные платежи еще и безопасны — технология разрабатывалась относительно недавно и предусматривает многочисленные защитные меры от мошенничества. Тем не менее злоумышленники изобрели несколько вариантов злоупотребления NFC для кражи денег с ваших карточек. К счастью, для защиты своих средств достаточно знать об этих трюках и избегать опасных сценариев пользования NFC.

Что такое ретрансляция NFC и NFCGate

Ретрансляция NFC — это техника, при которой данные, бесконтактно передаваемые между источником (например, банковской картой) и приемником (например, платежным терминалом), перехватываются на одном промежуточном устройстве и в реальном времени передаются на другое. Приложение для ретрансляции устанавливается на два смартфона, связанных через Интернет. Карту прикладывают к первому смартфону, а второй смартфон подносят к считывателю в терминале или банкомате — и с их стороны все выглядит так, будто рядом находится настоящая карта, хотя физически она может быть в другом городе или даже стране.

Изначально эта технология не создавалась для преступных целей. Приложение NFCGate появилось в 2015 году как исследовательский инструмент, разработанный студентами Технического университета Дармштадта в Германии. Оно предназначалось для анализа и отладки NFC-трафика, а также для обучения и экспериментов с бесконтактными технологиями. NFCGate распространялся как решение open source и использовался в академической среде и среди энтузиастов.

Спустя пять лет киберпреступники обратили внимание на саму идею ретрансляции NFC. NFCGate стали модифицировать, добавляя в моды работу через сервер злоумышленников, маскировку под полезные программы и сценарии социальной инженерии. Так исследовательский проект превратился в фундамент для целого класса атак, направленных на кражу денег с банковских счетов без физического доступа к карте.

История нецелевого использования

Первые атаки с использованием модифицированного NFCGate задокументированы в конце 2023 года в Чехии, а до России схема добралась в августе 2024 года. Уже к началу 2025-го проблема приобрела заметный масштаб: аналитики обнаружили более 80 уникальных вредоносных образцов на базе NFCGate. Атаки быстро эволюционировали, и ретрансляция NFC интегрировалась с другими вредоносными компонентами.

В феврале 2025-го появились связки вредоносного ПО CraxsRAT и NFCGate, позволявшие устанавливать и настраивать ретранслятор с минимальным участием жертвы. Весной 2025 года возникла новая схема — так называемая «обратная» версия NFCGate, где изменился сам способ проведения атаки.

Отдельного внимания заслуживает троян RatOn, обнаруженный в Чехии. Он сочетает функции удаленного управления смартфоном и NFC-ретрансляции, позволяя атаковать мобильный банкинг и карты жертвы разными комбинациями методов. Перехват экрана и подмена данных в буфере обмена, отправка SMS, кража информации из криптокошельков и банковских приложений дают злоумышленникам широчайшие возможности. В коде некоторых образцов есть указания на «поддержку» этим зловредом и российских приложений.

Киберпреступники также упаковали ретрансляцию NFC во вредоносную платформу (Malware-as-a-Service, MaaS) для перепродажи «коллегам по цеху» по подписной модели. В Италии была обнаружена разработка SuperCard X, предположительно китайского происхождения. В мае 2025 года попытки применения SuperCard X были зафиксированы и в России, а в августе — в Бразилии.

По данным исследований, только за первый квартал 2025 года общий ущерб от атак на базе NFCGate в России превысил 400 млн рублей. За третий квартал 2025 года в одной РФ атак с ретрансляцией NFC замечено более 44 тысяч, что в полтора раза больше, чем кварталом ранее.

Прямая атака NFCGate

Прямая атака — это первый появившийся сценарий преступного использования NFCGate. В нем смартфон жертвы играет роль «считывателя», а смартфон злоумышленника — эмулятора карты.

Сначала мошенники убеждают пользователя установить вредоносное приложение под видом банковского сервиса, обновления, программы «защиты счета» или просто популярного приложения вроде TikTok. После установки приложение получает доступ к NFC и Интернету, зачастую не запрашивая опасных прав или root-доступа. В некоторых версиях дополнительно запрашивается доступ к специальным возможностям Android.

Затем, якобы для подтверждения личности, жертву просят приложить банковскую карту к смартфону. Когда это происходит, вредоносное приложение считывает данные по NFC и немедленно отправляет их на сервер злоумышленников. Оттуда информация передается на другой смартфон, который находится у дропа, помощника преступников по снятию денег. Затем это устройство эмулирует карту жертвы при оплате в терминале или снятии наличных в банкомате.

Мошенническое приложение на смартфоне жертвы также требует ввести пин-код от карты — как при оплате на терминале или снятии денег в банкомате — и передает его злоумышленникам.

В ранних версиях атаки преступники просто стояли у банкомата с телефоном наготове, чтобы оперативно воспользоваться картой одураченного пользователя. Впоследствии вредоносное ПО доработали, чтобы данные можно было использовать в магазинах в отложенном режиме, а не в «прямом эфире».

Для жертвы процесс кражи малозаметен: карта не покидает владельца, ее реквизиты вводить или диктовать не требуется, а уведомления о списании денег могут приходить с задержкой или и вовсе перехватываться вредоносным приложением.

Среди тревожных признаков, заставляющих заподозрить проведение прямой NFC-атаки:

• предложение установить приложение не из официальных магазинов;
• требование приложить банковскую карту к смартфону.

Обратная атака NFCGate

Обратная атака — более новая и изощренная схема. В ней смартфон жертвы уже не считывает карту, а эмулирует карту злоумышленника. При этом жертве все действия кажутся абсолютно безопасными — не нужно ни диктовать реквизиты своих карт, ни сообщать кому-то какие-либо коды, ни прикладывать карту к смартфону.

Как и в прямой схеме, все начинается с социальной инженерии. Пользователю звонят или пишут, убеждая установить приложение «для бесконтактных платежей», «защиты карт» или даже «работы с цифровым рублем». После установки новое приложение просит сделать себя системой для бесконтактных платежей по умолчанию — и именно этот шаг критически важен. Благодаря ему зловреду не требуется root-доступ — достаточно согласия пользователя.

Затем вредоносное приложение в фоновом режиме подключается к серверу злоумышленников, и на устройство жертвы передаются NFC-данные карты, принадлежащий одному из преступников. Для жертвы этот шаг незаметен.

На следующем этапе жертву направляют к банкомату. Под предлогом «зачисления денег на безопасный счет» или «перевода самому себе» человека просят приложить телефон к NFC-модулю банкомата. В этот момент банкомат фактически работает с картой злоумышленника. ПИН-код жертве диктуют заранее, представляя его как «новый» или «временный».

В результате все внесенные или переведенные жертвой деньги уходят на счет преступников. Признаки этой атаки:

• просьба сменить систему NFC-оплаты по умолчанию;
• информация о новом ПИН-коде;
• сценарий, в котором нужно дойти до банкомата и проделать какие-либо действия с ним по чужой инструкции.

Как защититься от атак через NFC

Атаки с использованием NFC-ретрансляции опираются не столько на технические уязвимости, сколько на доверие пользователей. Защититься от них помогут простые меры предосторожности.

• Не соглашайтесь менять систему бесконтактных платежей по умолчанию (Mir Pay, Google Pay, Samsung Pay и так далее).
• Не прикладывайте банковскую карту к смартфону по просьбе посторонних лиц или по запросу приложений. Легитимные приложения иногда используют камеру для сканирования номера карты, но не NFC-считыватель.
• Не выполняйте операции в банкомате по инструкциям посторонних лиц, кем бы они ни представлялись.
• Не устанавливайте приложения, присланные в мессенджерах, соцсетях, по ссылкам в СМС, рекомендованные во время телефонного звонка, даже если они приходят от имени «поддержки» или «полиции».
• Используйте полноценную защиту своих Android-смартфонов, чтобы предотвратить мошеннические звонки, посещение фишинговых сайтов и установку вредоносного ПО.
• Старайтесь использовать только официальные магазины приложений, а если это невозможно — вручную заходите на официальные сайты банков и других организаций для загрузки заведомо чистых версий мобильных приложений. При загрузке из магазина приложений проверяйте отзывы, число загрузок, дату публикации и рейтинг приложения.
• При работе с банкоматом используйте физическую карту, а не смартфон.
• Регулярно проверяйте в настройках NFC смартфона пункт «Платежное приложение по умолчанию». Если видите в списке подозрительные приложения, удалите их немедленно и проведите полную проверку смартфона на заражение другим вредоносным ПО.
• Изучите в настройках Android список приложений, имеющих доступ к службе «Специальные возможности» (Accessibility) — этой функцией часто злоупотребляет вредоносное ПО. Подозрительные приложения нужно либо отключить от «Специальных возможностей», либо удалить.
• Добавьте в записную книжку смартфона официальные номера службы поддержки банков, в которых у вас есть счета, и при малейших подозрениях на обман сразу звоните на горячую линию банка.
• Если карта могла быть скомпрометирована — немедленно заблокируйте ее.