Исследователи Zimperium сообщают о резком увеличении числа вредоносных Android-приложений, нацеленных на бесконтактные платежи в Восточной Европе. По их данным, за последние месяцы выявлено более 760 образцов NFC-малвари, которые используют легитимные механизмы платформы для кражи платежных данных и несанкционированных транзакций. Эксперты отмечают: динамика атак не снижается и продолжает ускоряться, что делает мобильные платежи одной из приоритетных зон риска.
Что такое NFC-малварь и почему она опасна
В отличие от классических банковских троянов, которые чаще опираются на фишинговые оверлеи и захват экрана, NFC-малварь работает тоньше: она злоупотребляет функцией Host Card Emulation (HCE) в Android. HCE позволяет смартфону эмулировать бесконтактную платежную карту, взаимодействуя с терминалом так, словно это реальный пластик. Для пользователя процесс выглядит привычно, однако вредонос получает контроль над цепочкой обмена данными, включая критичные элементы платежного протокола.
Технические векторы: HCE, EMV-поля и APDU-туннелирование
Исследователи фиксируют несколько подходов. Во-первых, малварь может перехватывать и эксфильтровать EMV-поля — структурированные данные транзакции, отправляя их в Telegram-боты или на серверы операторов атаки. Во-вторых, встречается APDU-туннелирование, когда команды POS-терминала (APDU) пересылаются на удаленный сервер, который в реальном времени формирует корректные ответы для авторизации платежа. Такой «прокси»-режим позволяет проводить оплату без физической карты и без ведома владельца смартфона. Отдельные образцы применяют технику, аналогичную Ghost Tap: динамически модифицируют ответы HCE на лету, чтобы незаметно завершить транзакцию на кассе.
Масштабы кампаний и инфраструктура атак
По оценке Zimperium, экосистема злоумышленников включает более 70 управляющих серверов и площадок распространения, а также десятки приватных каналов и ботов в Telegram для координации операций и получения украденных данных. Ранние сообщения об инцидентах относятся к осени 2023 года и затрагивали клиентов крупных банков в Чехии. В России первые атаки с применением NFCGate зафиксированы в августе 2024 года.
Согласно данным специалистов F6, уже по итогам первого квартала 2025 года совокупный ущерб от вредоносных версий NFCGate достиг 432 млн рублей. С января по март злоумышленники совершали в среднем около 40 успешных атак в день, при этом средняя сумма ущерба составляла порядка 120 000 рублей на инцидент. Эти цифры отражают зрелость схемы монетизации и устойчивость каналов распространения.
Маскировка под платежные сервисы и бренды-приманки
Атакующие активно используют маскировку под PWA и поддельные банковские клиенты, регистрируя приложение как обработчик бесконтактных платежей по умолчанию в Android. Чаще всего имитируются Google Pay и известные банки: Santander Bank, ВТБ, «Тинькофф Банк», Банк России, ING Bank, Bradesco Bank, Промсвязьбанк и другие. Визуальное исполнение подобных приложений нередко выглядит убедительно, что усложняет выявление подмены непосвященным пользователем.
Как распространяется NFC-малварь
Основные каналы — фишинговые сайты, каталоги сторонних APK, рассылки в мессенджерах и закрытые Telegram-сообщества. Для вывода данных применяются те же инструменты: эксфильтрация в боты и каналы, передача на контролируемые C2-серверы, дальнейшая агрегация и использование в мошеннических транзакциях.
Рекомендации по защите мобильных платежей
Что делать пользователям Android:
— Устанавливайте приложения только из Google Play; избегайте APK со сторонних сайтов и «дубликатов» банковских клиентов.
— Проверяйте, какое приложение назначено обработчиком «Tap-to-Pay» по умолчанию, и отменяйте подозрительные назначения.
— Отключайте NFC, когда функция не используется, и ограничивайте разрешения приложений, связанных с платежами.
— Включите Google Play Protect, регулярно обновляйте ОС и патчи безопасности.
— Активируйте уведомления по всем транзакциям и лимиты операций; немедленно блокируйте карту при подозрительной активности.
— С осторожностью относитесь к PWA и «обновлениям» платежных сервисов из ссылок в мессенджерах.
— Для организаций: используйте MDM/EMM-политику, списки доверенных приложений, контроль HCE и мониторинг сетевых аномалий (APDU/EMV-трафика на уровне HCE-сервисов).
Расширение ландшафта NFC-малвари и рост числа кампаний подтверждают: атаки на бесконтактные платежи становятся системной угрозой. Своевременные обновления, строгая гигиена установки приложений и контроль настроек бесконтактной оплаты снижают вероятность компрометации. Следите за рекомендациями поставщиков ИБ, проверяйте платежные приложения и транзакции — это простые шаги, которые значительно повышают устойчивость к новым схемам атак.
