Трояны F6 предупреждает о новой опасной вредоносной версии легитимного Android -приложения NFCGate. По данным аналитиков, она встроена в многофункциональный банковский троян RatOn и в ближайшее время может быть использована против клиентов крупных российских банков. Такой зловред позволяет злоумышленникам незаметно для владельца устройства похищать деньги как с банковских счетов. По расчётам F6, только за первые 10 месяцев 2025 года ущерб от всех вредоносных версий NFCGate в России превысил 1,6 млрд рублей. МВД также фиксирует рост заражений: во второй половине года на «обратную» модификацию NFCGate пришлось более половины всех инцидентов — 52,4%. RatOn: новая и более опасная связка Исследователи ThreatFabric первыми обнаружили RatOn в Чехии , а специалисты F6 смогли получить его образец и подробно изучить. По их словам, RatOn значительно мощнее предыдущих модификаций NFCGate: фактически, это целый набор инструментов для скрытного управления устройством. Схема заражения выглядит так: Пользователь скачивает поддельное приложение — исследованный образец маскировался под TikTok. После установки на устройстве незаметно появляется второй APK-файл — троян удалённого доступа. Затем устанавливается третий APK — вредоносная версия NFCGate. Эта «матрёшка» позволяет преступникам развернуть нужную функциональность поэтапно, не вызывая подозрений. RatOn получает полный доступ к устройству через Android Accessibility — систему специальных возможностей, которая в данном случае используется в целях удалённого управления. Троян умеет: запускать банковские приложения, вводить ПИН-код и увеличивать лимиты операций; выполнять автоматические переводы на заранее подготовленные счета; собирать данные из приложений, соцсетей и мессенджеров; подменять номера счетов и другие чувствительные данные; отправлять СМС; блокировать экран «чёрным окном», скрывая свою активность; заставлять пользователя менять пароль и перехватывать его; создавать новые контакты и подменять номера в телефонной книге. Для удалённого контроля RatOn делает снимки экрана каждые 50 мс и передаёт потоковое изображение злоумышленникам. Аналитики F6 отмечают: функциональность RatOn изначально адаптирована под русскоязычные приложения. Это значит, что разработчики закладывали возможность атаковать российских пользователей ещё на этапе разработки. Кроме того, предыдущие версии NFCGate почти всегда доходили до России: сначала применялись за рубежом, а затем появлялись в атаках на российских клиентов банков. Как защититься не общаться в мессенджерах с незнакомцами, представляющимися сотрудниками банка или госструктур; не переходить по ссылкам из СМС и сообщений; не устанавливать приложения по совету посторонних и с непроверенных сайтов; скачивать программы только из официальных магазинов (RuStore, Google Play); внимательно читать отзывы о приложениях; не сообщать никому логины, пароли, PIN и CVV-коды; при подозрении на компрометацию карты — сразу блокировать её через банк; не удалять банковские приложения по просьбе незнакомых людей. Также можно самостоятельно проверить устройство: Какие приложения имеют доступ к NFC. Какой софт выбран платежной системой по умолчанию. Какие программы подключены к Android Accessibility. Если среди них есть что-то неизвестное или установленное «по чьему-то совету», такое приложение лучше удалить. Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности. Новость Source: https://www.anti-malware.ru/news/2025-12-01-111332/48241?amp