В России была зафиксирована новая схема атак на клиентов банков, которая почти незаметно крадет деньги и захватывает контроль над смартфонами. Все начинается с установки на телефон безобидного, на первый взгляд, приложения, но в результате пользователи теряют контроль над устройством, а порой и над своими деньгами. За этим стоит связка двух вредоносных программ — CraxsRAT и NFCGate.
По данным специалистов по кибербезопасности из компании F6, в марте 2025 года уже более 180 тысяч смартфонов в России оказались заражены этими программами. Это не случайность — схема имеет тщательно продуманный подход: одна программа помогает установить другую, и вместе они превращают телефон в удобный инструмент для кражи денег.
CraxsRAT — это троян, который маскируется под обычное приложение, например, фотоархив, документ или обновление мессенджера. После установки он открывает доступ к телефону злоумышленникам, которые могут управлять устройством удаленно, как если бы они держали его в руках. Этот троян начали активно отслеживать осенью 2024 года, и к февралю 2025-го количество зараженных устройств увеличилось в 2,5 раза, достигнув 22 тысяч.
NFCGate изначально было легальным приложением, созданным студентами в 2015 году для экспериментов с NFC. Однако в руках преступников оно стало опасным инструментом. Пользователи получают просьбу приложить банковскую карту к телефону и ввести ПИН-код якобы для «проверки» или «активации». На самом деле эти данные сразу отправляются злоумышленникам, которые могут ими воспользоваться.
Теперь мошенникам не нужно звонить жертве и убеждать её — CraxsRAT автоматически загружает и устанавливает NFCGate. Всё происходит в фоновом режиме. В результате преступники получают полный доступ к смартфону, включая возможность перехватывать СМС, входящие уведомления из банков, управлять приложениями и снимать деньги.
За январь и февраль 2025 года ущерб от атак, использующих NFCGate, составил почти 200 миллионов рублей, и количество атак продолжает расти. В феврале их число увеличилось на 80% по сравнению с январем. Однако из всех заражённых устройств для атак активно использовалось чуть больше 1200.
Основной метод распространения этих атак — рассылка вредоносных файлов через мессенджеры, в первую очередь через WhatsApp (принадлежащий Meta, признанной экстремистской и запрещённой в России) и Telegram. Пользователям присылаются APK-файлы, маскирующиеся под приложения с названиями вроде: «Фотографии.apk», «Мои голые видео.apk», фейковыми приложениями «Госуслуги» или «Минздрав», антивирусами, приложениями операторов связи или даже альтернативной версией Telegram, например, Telegram Video Player. Специалисты нашли более 140 различных версий CraxsRAT и более 100 версий на базе NFCGate.
Модифицированные версии NFCGate также подстраиваются под разные приложения — от «GosSecure» до программ для бесконтактной оплаты или диагностики автомобилей. Их цель — выглядеть безопасно, чтобы пользователи сами установили приложение и предоставили нужные разрешения.
Связка CraxsRAT и NFCGate уже представляет собой не просто очередной троян, а целую экосистему для кражи денег и контроля над смартфоном. Всё происходит в фоновом режиме, без звонков и манипуляций. Пользователь может даже не заметить, что его устройство было взломано, пока не обнаружит исчезновение денег с карты.
По данным специалистов по кибербезопасности из компании F6, в марте 2025 года уже более 180 тысяч смартфонов в России оказались заражены этими программами. Это не случайность — схема имеет тщательно продуманный подход: одна программа помогает установить другую, и вместе они превращают телефон в удобный инструмент для кражи денег.
CraxsRAT — это троян, который маскируется под обычное приложение, например, фотоархив, документ или обновление мессенджера. После установки он открывает доступ к телефону злоумышленникам, которые могут управлять устройством удаленно, как если бы они держали его в руках. Этот троян начали активно отслеживать осенью 2024 года, и к февралю 2025-го количество зараженных устройств увеличилось в 2,5 раза, достигнув 22 тысяч.
NFCGate изначально было легальным приложением, созданным студентами в 2015 году для экспериментов с NFC. Однако в руках преступников оно стало опасным инструментом. Пользователи получают просьбу приложить банковскую карту к телефону и ввести ПИН-код якобы для «проверки» или «активации». На самом деле эти данные сразу отправляются злоумышленникам, которые могут ими воспользоваться.
Теперь мошенникам не нужно звонить жертве и убеждать её — CraxsRAT автоматически загружает и устанавливает NFCGate. Всё происходит в фоновом режиме. В результате преступники получают полный доступ к смартфону, включая возможность перехватывать СМС, входящие уведомления из банков, управлять приложениями и снимать деньги.
За январь и февраль 2025 года ущерб от атак, использующих NFCGate, составил почти 200 миллионов рублей, и количество атак продолжает расти. В феврале их число увеличилось на 80% по сравнению с январем. Однако из всех заражённых устройств для атак активно использовалось чуть больше 1200.
Основной метод распространения этих атак — рассылка вредоносных файлов через мессенджеры, в первую очередь через WhatsApp (принадлежащий Meta, признанной экстремистской и запрещённой в России) и Telegram. Пользователям присылаются APK-файлы, маскирующиеся под приложения с названиями вроде: «Фотографии.apk», «Мои голые видео.apk», фейковыми приложениями «Госуслуги» или «Минздрав», антивирусами, приложениями операторов связи или даже альтернативной версией Telegram, например, Telegram Video Player. Специалисты нашли более 140 различных версий CraxsRAT и более 100 версий на базе NFCGate.
Модифицированные версии NFCGate также подстраиваются под разные приложения — от «GosSecure» до программ для бесконтактной оплаты или диагностики автомобилей. Их цель — выглядеть безопасно, чтобы пользователи сами установили приложение и предоставили нужные разрешения.
Связка CraxsRAT и NFCGate уже представляет собой не просто очередной троян, а целую экосистему для кражи денег и контроля над смартфоном. Всё происходит в фоновом режиме, без звонков и манипуляций. Пользователь может даже не заметить, что его устройство было взломано, пока не обнаружит исчезновение денег с карты.
