Развитие угроз NFCGATE: новые методы финансового мошенничества на Android

В последнее время стремительное развитие и распространение вредоносных модификаций легального приложения NFCGATE вызывает серьезные опасения среди экспертов по кибербезопасности. Особенно остро эта проблема ощущается среди пользователей Android в России. С момента первых случаев атак, связанных с NFCGATE, за последний год была выявлена целая серия новых вредоносных версий, которые значительно совершенствуют методы взлома и эксплуатации NFC-технологий.

Новая волна угроз: появление Supercard

Одной из самых опасных разновидностей вредоносного ПО стала Supercard, впервые обнаруженная в мае 2025 года. Это приложение использует технологию NFC для перехвата информации о банковских картах, что позволяет злоумышленникам совершать несанкционированные финансовые операции и ставит под угрозу безопасность пользователей.

Особенности Supercard:

• Использует NFC для перехвата конфиденциальных данных, передаваемых по NFC-трафику.
• Распространяется через социальную инженерию, маскируясь под легитимное приложение.
• Изначально отличается от прежних версий, распространявшихся через Даркнет — теперь злоумышленники активно используют Telegram для поддержки и рекламы.

Технические характеристики Supercard

Supercard базируется на архитектуре оригинального NFCGATE, однако содержит значительные изменения, направленные на уклонение от обнаружения и повышение эффективности атак.

• Защита кода с помощью JiaGU packager и методов шифрования (AES).
• Реализация мер по предотвращению отладки и динамического анализа.
• Расширенные возможности эмуляции платежных карт.
• Сбор карточных данных напрямую из высокоуровневых коммуникационных протоколов.

После установки Supercard требует от пользователя пройти аутентификацию посредством QR-кода, содержащего учетные данные сервера. После успешной аутентификации вредоносное ПО определяет используемую платежную систему (MasterCard, Visa и другие) и готовит устройство к перехвату NFC-транзакций с помощью двух основных методов:

• Перехват NFC-данных.
• Взаимодействие с библиотеками для сбора информации с EMV-чипов платежных карт.

При этом, несмотря на то что российские платежные системы пока не поддерживаются, нет гарантий, что эта функциональность не будет добавлена в ближайшем будущем.

Различия и сходства между версиями NFCGATE

Вредоносные версии NFCGATE реализуют в основном два типа атак на NFC-связь:

• Классический метод — традиционное считывание и передача данных счётчика NFC.
• Обратный подход — эмуляция авторизованных устройств или служб для незаконного сбора данных.

Сходство в разрешениях у различных версий вредоносных приложений указывает на то, что злоумышленники легко модифицируют и генерируют новые экземпляры, используя существующие кодовые базы. Это подчеркивает постоянную и растущую угрозу со стороны эволюционирующего вредоносного ПО.

Заключение

Совершенствование методов и стратегий киберпреступников требует от специалистов в области информационной безопасности постоянной бдительности и своевременного реагирования. Особенное значение приобретает проактивная защита финансовых учреждений и повышение осведомленности пользователей об угрозах, связанных с NFC-технологиями.

Только слаженная работа аналитиков, разработчиков средств защиты и самих пользователей поможет снизить риски, связанные с вредоносными приложениями типа Supercard и их производными.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.