1,6 млрд ₽ мошенники украли с новым трояном для Android — программа нацелена на клиентов российских банков

Как появился новый гибридный троян

5 июля 2025 года исследователи компании, специализирующейся на мобильной безопасности ThreatFabric обнаружили в Чехии троян RatOn — модификацию, в которой впервые объединили функции трояна с ранее известным перехватчиком NFCGate. В отличие от прежних вариантов NFCGate, работавших отдельно и требовавших взаимодействия пользователя с NFC-модулем, связка с трояном позволяет скрытно управлять устройством, выполнять операции в банковских приложениях и маскироваться под популярные сервисы.

Российские специалисты поставщика решений в области кибербезопасности F6 обнаружили, что троян RatOn встроен в модифицированные версии NFCGate — приложения, используемого для работы с данными бесконтактных платежей. По словам экспертов компании, такая связка превращает вредонос в многофункциональный инструмент: он адаптирован под русскоязычные приложения, маскируется под популярные сервисы и способен выполнять операции в банковских приложениях без участия владельца устройства.

Новая гибридная сборка RatOn + NFCGate, которую изучили специалисты F6, стала самой функционально насыщенной среди известных модификаций вредоноса. Аналитики поставщика решений в области кибербезопасности F6 называют её наиболее опасной: гибрид объединяет возможности трояна, инструмента перехвата данных и средства удалённого доступа в одном приложении.

По информации экспертов:

• Троян не требует прикладывать карту к NFC-модулю — достаточно установить приложение и выдать разрешения.
• Вредонос маскируется под популярные программы.
• RatOn может открывать банковское приложение и выполнять операции: вводить ПИН-код, менять лимиты и переводить деньги.
• ПО снимает экран до 20 кадров в секунду и передаёт видео в режиме реального времени.
• Троян собирает данные из соцсетей, мессенджеров, приложений и может подменять чувствительные данные.
• Вредонос способен менять пароль устройства и перехватывать новый код.

Вредоносы маскируются под операторов связи и банки

По данным из официального телеграм-канала УБК МВД России, во второй половине 2025 года на NCFGate пришлось больше половины случаев заражений мобильных устройств — 52,4%.

Эксперты поставщика решений в области кибербезопасности F6 предупреждают, что в России распространение вредоноса идёт через социальную инженерию: злоумышленники маскируют вредонос под сервисы госструктур, операторов связи, банки, приложения видеозвонков и сервисы онлайн-платежей.

Как проверить устройство на вредоносные приложения

Эксперты F6 подготовили короткий перечень действий, который помогает пользователям Android определить, не установлено ли на устройстве подозрительное ПО:

• Посмотреть, какое приложение выбрано как платежная система по умолчанию.
• Убедиться, что подозрительные приложения не обладают доступом к Android Accessibility.
• Удалять ПО, установленное по ссылкам незнакомых отправителей.
• Устанавливать программы только из официальных магазинов RuStore и Google Play.

Чек-лист для банков

Специалисты F6 рекомендуют банкам:

• Запрашивать физическую карту при нестандартных NFC-операциях.
• Интегрировать данные геолокации в антифрод-процессы.
• Развивать средства обнаружения вредоносных приложений на устройствах клиентов.
• Использовать кросс-канальные сессионные данные и аналитику поведения для оценки рисков операций.

Контекст

Международный опыт показывает, что мобильные вредоносы регулярно приводят к крупным потерям. В Европе одним из самых заметных стал FluBot: он распространялся через ссылки в SMS, подменял экраны банковских приложений и нанёс ущерб на десятки миллионов евро. Схожие кампании с троянами Anatsa и SharkBot фиксировались в Великобритании, Германии, США и Австралии — отдельные волны атак приносили преступникам миллионы долларов за короткие периоды. Эти случаи подтверждают: мобильные вредоносы быстро адаптируются и выходят на новые рынки, когда в них появляется финансовый интерес.