Союз списания: киберпреступники используют связку CraxsRAT и NFCGate в атаках на клиентов банков

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, обнаружила новые атаки на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate. Теперь злоумышленники могут без единого звонка устанавливать на устройства пользователей вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт. По данным аналитиков F6, в марте 2025 года в России суммарно насчитывалось свыше 180 тыс. скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.

Франкенштейн в смартфоне

В первом квартале 2025 года решение F6 Fraud Protection зафиксировало увеличение доли скомпрометированных устройств пользователей из России, на которых одновременно используются Android-троян CraxsRAT и вредоносный софт на основе легитимной программы NFCGate. В отчёте F6 указанные приложения были названы среди главных угроз для клиентов российских банков в 2025 году, и наш прогноз оказался точным.

CraxsRAT – многофункциональный Android-троян, изначально созданный на исходных кодах вредоносного ПО SpyNote. Проникает на мобильные устройства под видом легитимных приложений и обновлений. После установки предоставляет злоумышленникам возможность удалённого управления, включая выполнение различных действий без ведома пользователя. Впервые исследователи F6 описали CraxsRAT в октябре 2024 года.

По данным аналитиков F6, в феврале 2025 года число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрём 2024 года, а количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 000.

NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 году. На его основе злоумышленники