Изображение


Содержание


1. Введение: NGate — первый задокументированный NFC-ретрансляционный троян
2. Как работает NFC и почему это вектор атаки
3. Технический механизм NGate: NFC-ретрансляция пошагово
4. Векторы распространения: PWA-фишинг и социальная инженерия
5. Компонент NFCGate: академический инструмент в руках злоумышленников
6. Признаки заражения NGate: что замечает пользователь
7. Обнаружение NGate через ADB и системные инструменты
8. Анализ вредоносного APK: что показывает статический анализ
9. Пошаговое удаление NGate с Android-устройства
10. Как банки и платёжные системы могут защититься
11. Защита пользователя: практические меры против NFC-атак
12. NGate в корпоративной среде: риски для организаций
13. Место NGate в ландшафте мобильных банковских угроз
14. Криминалистика: восстановление событий после инцидента
15. Правовой аспект: что делать если стали жертвой
16. Часто задаваемые вопросы (FAQ)
17. Заключение: NFC-безопасность в 2026 году



Введение: NGate — первый задокументированный NFC-ретрансляционный троян


В марте 2024 года исследователи ESET опубликовали анализ угрозы, которую назвали революционной в мире мобильных банковских краж. Trojan Android/NGate.A — первое задокументированное вредоносное программное обеспечение, использующее ретрансляцию NFC-данных как основной вектор хищения средств с банковских счетов.

До NGate банковские трояны на Android действовали преимущественно по двум сценариям: перехват SMS с кодами подтверждения транзакций и overlay-атаки — подмена интерфейса банковского приложения фишинговым экраном для кражи учётных данных. NGate предложил принципиально иной подход, не требующий ни кражи логина и пароля, ни перехвата кодов подтверждения.

Механизм работы: заражённый смартфон жертвы считывает NFC-данные банковской карты (когда карта оказывается рядом с телефоном) и передаёт их в реальном времени на Android-устройство злоумышленника. Злоумышленник приставляет свой телефон к банкомату — и банкомат «видит» карту жертвы, хотя физически карты рядом нет. При наличии PIN-кода (который злоумышленник получал методами социальной инженерии) снятие наличных становилось возможным.

Важно понять контекст: NGate был исследован и задокументирован ESET, Чешской полицией задержан подозреваемый, технические детали опубликованы в открытом доступе в исследовательских целях. Именно это делает возможным написание защитного руководства с детальным объяснением механизмов угрозы.

Данное руководство основано на публично доступном исследовании ESET (lukas.stefanko@eset.com, блог WeLiveSecurity), академических работах по NFC-безопасности и анализе задокументированных инцидентов. Цель — дать специалистам ИБ, банковским службам безопасности и осведомлённым пользователям полное понимание угрозы и инструменты защиты.

Оговорка о применении: все описанные техники обнаружения применяются только к собственным устройствам или к устройствам, которые вы уполномочены администрировать. Использование NFC-ретрансляции для несанкционированного доступа к чужим картам является уголовным преступлением в любой юрисдикции.



Как работает NFC и почему это вектор атаки


Чтобы понять NGate, необходимо понимать технологию NFC и её роль в платёжных системах.

#### Основы технологии NFC

NFC (Near Field Communication — коммуникация ближнего поля) — технология беспроводной передачи данных на расстоянии до 20 сантиметров на частоте 13,56 МГц. Технология используется в: бесконтактных банковских картах (стандарт EMV Contactless), мобильных платёжных системах (Google Pay, Apple Pay, Samsung Pay), транспортных картах (Тройка, «Подорожник» и аналоги), системах контроля доступа, электронных паспортах и документах.

NFC-транзакция происходит мгновенно — обычно за 0,1–0,3 секунды. Это удобство и является одновременно уязвимостью с точки зрения безопасности: скорость транзакции не оставляет времени на дополнительные проверки.

#### Как работает бесконтактная оплата банковской картой

Когда вы прикладываете карту к терминалу, происходит следующее. Терминал создаёт электромагнитное поле, которое индуцирует ток в антенне карты — карта получает питание. Терминал отправляет команду SELECT (выбор приложения) согласно стандарту ISO/IEC 14443. Карта отвечает идентификатором приложения (Application Identifier, AID). Проходит серия обмена данными по протоколу EMV: терминал запрашивает данные карты, карта отвечает зашифрованным криптограммом транзакции. Терминал направляет данные в процессинговый центр банка для авторизации.

Бесконтактные транзакции до определённого лимита (в России — до 3000 рублей) проводятся без ввода PIN-кода. Выше лимита требуется PIN.

#### Почему NFC является вектором атаки

Протокол EMV Contactless изначально проектировался с допущением, что карта находится физически рядом с терминалом — в нескольких сантиметрах. Это ограничение расстояния рассматривалось как физическая гарантия того, что только карта, которую вы намеренно поднесли, участвует в транзакции.

NGate разрушает это допущение: через программную ретрансляцию NFC-данных расстояние между картой и терминалом может быть любым — хоть другой конец города. Техническое расстояние перестаёт быть защитным барьером.

При этом с точки зрения терминала и банка транзакция выглядит полностью легитимной: карта «отвечает» правильными данными, криптограм формируется корректно. Разработчики EMV не закладывали защиту от сценария, в котором NFC-интерфейс карты доступен через интернет-соединение.



Технический механизм NGate: NFC-ретрансляция пошагово


Понимание механизма NGate критически важно для построения защиты. Рассмотрим полную цепочку атаки.

#### Архитектура атаки

В атаке NGate участвуют три стороны: устройство жертвы (смартфон с установленным трояном), сервер ретрансляции (управляется злоумышленником, пересылает NFC-данные), устройство злоумышленника (смартфон, эмулирующий карту жертвы у банкомата).

Ключевой компонент — программа NFCGate, работающая на обоих устройствах. Устройство жертвы работает в режиме «перехватчика» (interceptor/reader), устройство злоумышленника — в режиме «эмулятора» (emulator).

#### Полная цепочка атаки по шагам

Этап 1: Заражение устройства жертвы. Жертва получает фишинговое сообщение (SMS или мессенджер) с информацией о «проблеме» с банковским счётом. По ссылке открывается PWA-приложение (Progressive Web App) или предлагается установить APK, имитирующий банковское приложение. Приложение в действительности содержит компонент NGate/NFCGate.

Этап 2: Получение PIN-кода через социальную инженерию. Параллельно с заражением или после него злоумышленник звонит жертве, представляясь сотрудником банка или сотрудником полиции. Используя различные предлоги («проверка карты», «смена PIN», «авторизация операции»), он убеждает жертву продиктовать PIN-код карты или ввести его в фишинговой форме.

Этап 3: Активация NFC-перехвата. Вредоносное приложение на устройстве жертвы запрашивает разрешение на доступ к NFC. Используя NFCGate в режиме reader, приложение начинает непрерывно опрашивать NFC-поле. Жертве могут дать инструкцию «приложить карту к телефону для проверки» — или NFC-считывание происходит незаметно когда карта находится рядом с телефоном (в кошельке, кармане).

Этап 4: Ретрансляция NFC-данных. Считанные NFC-данные карты через зашифрованный канал передаются на сервер ретрансляции злоумышленника. С сервера данные поступают на устройство злоумышленника в режиме реального времени.

Этап 5: Эмуляция карты и снятие наличных. Устройство злоумышленника с запущенным NFCGate в режиме эмулятора используется у банкомата. Host Card Emulation (HCE) Android позволяет телефону имитировать NFC-карту. Банкомат «видит» карту жертвы, получает все необходимые данные. Злоумышленник вводит полученный ранее PIN — деньги сняты.

#### Почему банкомат не замечает подмены

Это ключевой вопрос. Банкомат (и процессинговая система банка) проверяет: корректность криптограма транзакции, правильность PIN-кода, наличие средств на счёте. Банкомат не проверяет: расположение карты в пространстве, задержку в передаче NFC-данных (небольшая задержка ретрансляции укладывается в таймауты протокола), источник NFC-сигнала.

EMV-протокол разрабатывался для защиты от клонирования карт (скимминга) — и с этой задачей справляется хорошо. Но ретрансляция не является клонированием: злоумышленник не копирует карту, он использует её «в прямом эфире» через программный мост.

#### Ограничения атаки

NGate не всемогущ. Ограничения: требует установки вредоносного ПО на устройство жертвы и физического приближения карты к заражённому телефону; для снятия наличных выше лимита без PIN требует социальной инженерии для получения PIN (именно поэтому злоумышленники звонят жертвам); NFC-сигнал должен считаться в реальном времени — карта должна быть рядом с заражённым устройством именно в момент атаки; задержка ретрансляции увеличивает риск таймаута транзакции при плохом соединении.



Векторы распространения: PWA-фишинг и социальная инженерия


ESET детально задокументировала векторы распространения NGate в чешских инцидентах. Понимание этих векторов — ключ к профилактике.

#### PWA как инновационный вектор

Progressive Web Apps (PWA) — веб-приложения, которые могут устанавливаться на устройство как обычные приложения. Злоумышленники использовали PWA именно потому, что: PWA устанавливаются без необходимости включения «Установки из неизвестных источников», они не проверяются Google Play Protect, на iOS PWA обходят App Store (хотя NGate на iOS не работает из-за отсутствия поддержки HCE), PWA выглядят идентично нативным приложениям.

Фишинговое PWA-приложение полностью копировало интерфейс банковского приложения: иконку, цветовую схему, экраны входа. Пользователь не замечал разницы.

#### Цепочка фишинга: SMS → PWA → настоящий троян

Документированная последовательность из чешских инцидентов:

Шаг 1: Жертва получает SMS с текстом вида «Ваша карта заблокирована. Для разблокировки установите обновление приложения [Банк]» со ссылкой.

Шаг 2: По ссылке открывается убедительно выглядящий фишинговый сайт с предложением установить PWA-приложение банка.

Шаг 3: Установленное PWA-приложение либо само является NGate, либо предлагает «дополнительно установить» APK с «расширенными функциями безопасности».

Шаг 4: APK содержит вредоносный компонент NGate/NFCGate.

Шаг 5: Параллельно или вскоре после установки жертве звонит «сотрудник банка» для «верификации» — и в разговоре получает PIN.

#### Роль звонка злоумышленника

Этот элемент вишинга (voice phishing) является критически важной частью атаки NGate — особенно для снятия сумм выше лимита без PIN. Типичные предлоги: «Мы зафиксировали подозрительную попытку доступа к вашему счёту, нам нужно верифицировать вашу личность», «Для отмены несанкционированной транзакции нам нужен ваш PIN», «Вы получили SMS с кодом — продиктуйте его нам, это код подтверждения отмены операции».

Жертва, уже напуганная SMS о «блокировке» и установившая «банковское» приложение, воспринимает звонок как продолжение одной коммуникации и доверяет собеседнику.



Компонент NFCGate: академический инструмент в руках злоумышленников


Одна из характерных черт NGate — использование в качестве ядра легитимного open-source инструмента NFCGate.

#### Что такое NFCGate

NFCGate — это инструмент для исследования NFC-безопасности, разработанный в Техническом университете Дармштадта (Германия) и опубликованный на GitHub как академический проект. Инструмент предназначен для: исследования уязвимостей NFC-протоколов, тестирования безопасности NFC-реализаций, захвата и воспроизведения NFC-трафика в исследовательских целях.

NFCGate поддерживает несколько режимов работы: Reader — считывание NFC-тегов и карт, Writer — запись данных на NFC-теги, Replay — воспроизведение ранее записанных NFC-данных, Clone — клонирование NFC-тегов (для поддерживаемых типов), Relay — ретрансляция NFC-данных в реальном времени через сервер.

Именно режим Relay стал основой для NGate.

#### Модификации в NGate

Злоумышленники взяли NFCGate и модифицировали его: удалили графический интерфейс исследовательского инструмента, добавили скрытый запуск при старте системы, интегрировали фишинговый интерфейс имитации банковского приложения, добавили функции типичного банковского трояна (перехват SMS, кража учётных данных), добавили собственный C2-сервер ретрансляции.

Это типичная техника для разработчиков малвари — использование легитимного open-source кода снижает затраты на разработку и иногда помогает обходить сигнатурное обнаружение (инструмент «известен» как легитимный).

#### Академическая дискуссия о публикации

Публикация NFCGate вызвала дискуссию в академическом ИБ-сообществе: насколько оправдано публичное размещение инструментов, которые могут быть использованы в преступных целях? Это не новый вопрос — Metasploit, Mimikatz, hashcat — все эти инструменты имеют как легитимное, так и потенциально преступное применение. Консенсус в сообществе: публикация с документированием защитных мер и уведомлением вендоров предпочтительнее «security through obscurity».



Признаки заражения NGate: что замечает пользователь


NGate разрабатывался с акцентом на скрытность — многие его действия незаметны для жертвы. Тем не менее существуют признаки, которые стоит искать.

#### Поведенческие признаки

Незнакомое «банковское» приложение. Если вы обнаружили приложение с иконкой и названием банка, которое вы не устанавливали через официальный магазин — это серьёзный красный флаг. Особенно если вы устанавливали какое-либо приложение, перейдя по ссылке из SMS или мессенджера.

NFC постоянно включён без видимой причины. NGate требует включённого NFC для работы. Если вы заметили что NFC включился сам по себе или остаётся включённым хотя вы его не используете — это повод для проверки.

Аномальный расход батареи. Постоянное сканирование NFC-поля и поддержание соединения с C2-сервером потребляют ресурсы. Ускоренный разряд батареи в совокупности с другими признаками — индикатор заражения.

Аномальный расход мобильного трафика. Ретрансляция NFC-данных происходит через мобильный интернет. Settings → Network → Data Usage может показать необычно высокое потребление от неизвестного приложения.

Появление запросов разрешений от банковского приложения. Легитимное банковское приложение не запрашивает доступ к NFC через системные диалоги — у него уже есть необходимые разрешения. Если «банковское» приложение внезапно запрашивает доступ к NFC, SMS, специальным возможностям — это подозрительно.

#### Системные признаки для технических пользователей

Наличие приложения от нелегитимного разработчика с именем, совпадающим с банком — имя пакета (package name) настоящего Сбербанка — ru.sberbankmobile, нет никакого com.sberbank.mobile.update или подобного.

Активный NFC-сервис от неизвестного приложения. Приложение в списке «Apps using NFC» (Settings → Connected devices → NFC → Apps using NFC) которое вы не ожидали там видеть.

Host Card Emulation (HCE) сервис от неизвестного приложения — это прямой признак возможного NFC-эмулятора.



Обнаружение NGate через ADB и системные инструменты


Для специалистов ИБ — практическое руководство по обнаружению через ADB.

#### Проверка NFC-разрешений и сервисов

bash
<h2 id="podklyuchit-ustroystvo-i-proverit-adb">Подключить устройство и проверить ADB</h2>

adb devices



<h2 id="spisok-vseh-prilozheniy-s-razresheniem-nfc">Список всех приложений с разрешением NFC</h2>

adb shell pm list packages | while read pkg; do

    pkg_name=$(echo $pkg | cut -d: -f2)

    perms=$(adb shell dumpsys package $pkg_name 2>/dev/null | grep "NFC")

    if [ ! -z "$perms" ]; then

        echo "$pkg_name: $perms"

    fi

done



<h2 id="bolee-bystryy-sposob-cherez-dumpsys">Более быстрый способ - через dumpsys</h2>

adb shell dumpsys package | grep -B5 "NFC" | grep "Package\|NFC"



<h2 id="spisok-prilozheniy-s-hce-host-card-emulation">Список приложений с HCE (Host Card Emulation)</h2>

adb shell dumpsys package | grep -A2 "CardEmulation"


#### Проверка активных NFC-сервисов

bash
<h2 id="aktivnye-hce-servisy-priznak-nfc-emulyatsii">Активные HCE-сервисы (признак NFC-эмуляции)</h2>

adb shell dumpsys nfc



<h2 id="tekuschee-sostoyanie-nfc">Текущее состояние NFC</h2>

adb shell svc nfc



<h2 id="podrobnaya-informatsiya-o-nfc">Подробная информация о NFC</h2>

adb shell dumpsys nfc | grep -i "service\|state\|enabled"


#### Поиск подозрительных пакетов

Настоящие банковские приложения распространяются только через Google Play или официальные сайты банков. Проверьте имена пакетов установленных «банковских» приложений:

bash
<h2 id="spisok-vseh-storonnih-ne-sistemnyh-prilozheniy">Список всех сторонних (не системных) приложений</h2>

adb shell pm list packages -3 | sort



<h2 id="proverit-hesh-konkretnogo-apk">Проверить хэш конкретного APK</h2>

adb shell pm path [имя.пакета]

adb pull [путь к APK] ./check.apk

sha256sum check.apk

<h2 id="proverit-hesh-na-virustotal">Проверить хэш на VirusTotal</h2>


Официальные имена пакетов крупных российских банков для сравнения: Сбербанк — ru.sberbankmobile, Тинькофф — com.idamob.tinkoff.android, ВТБ — ru.vtb24.mobilebanking.android, Альфа-Банк — ru.alfabank.mobile.android. Любое отклонение от официального имени пакета — красный флаг.

#### Сетевой анализ для выявления C2-соединений

bash
<h2 id="aktivnye-soedineniya">Активные соединения</h2>

adb shell netstat -an | grep ESTABLISHED



<h2 id="trafik-konkretnogo-prilozheniya-nuzhen-uid-prilozheniya">Трафик конкретного приложения (нужен UID приложения)</h2>

adb shell dumpsys package [имя.пакета] | grep "userId"

<h2 id="zatem">Затем</h2>

adb shell cat /proc/net/tcp | grep [UID в hex]



<h2 id="sobrat-pcap-cherez-tcpdump-esli-est-root">Собрать pcap через tcpdump (если есть root)</h2>

adb shell tcpdump -i any -w /sdcard/capture.pcap

adb pull /sdcard/capture.pcap

<h2 id="otkryt-v-wireshark-dlya-analiza">Открыть в Wireshark для анализа</h2>




Анализ вредоносного APK: что показывает статический анализ


По результатам публичного анализа ESET и независимых исследователей, NGate при статическом анализе демонстрирует следующие характерные признаки.

#### Подозрительные разрешения в AndroidManifest.xml

xml
<!-- Характерные разрешения NGate -->

<uses-permission android:name="android.permission.NFC"/>

<uses-permission android:name="android.permission.INTERNET"/>

<uses-permission android:name="android.permission.RECEIVE_SMS"/>

<uses-permission android:name="android.permission.READ_SMS"/>

<uses-permission android:name="android.permission.FOREGROUND_SERVICE"/>

<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>



<!-- HCE-сервис для эмуляции карты -->

<service android:name=".HCEService"

         android:exported="true"

         android:permission="android.permission.BIND_NFC_SERVICE">

    <intent-filter>

        <action android:name="android.nfc.cardemulation.action.HOST_APDU_SERVICE"/>

    </intent-filter>

    <meta-data android:name="android.nfc.cardemulation.host_apdu_service"

               android:resource="@xml/apduservice"/>

</service>


Критически важная деталь: наличие `HOST_APDU_SERVICE` в манифесте приложения, которое должно быть банковским клиентом, — прямой признак того, что приложение может эмулировать NFC-карту. Настоящее банковское приложение не содержит этого компонента (за исключением приложений мобильных платежей типа Google Pay, Samsung Pay, которые являются системными и имеют соответствующую верификацию).

#### Анализ через MobSF

bash
<h2 id="zapusk-mobsf">Запуск MobSF</h2>

docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest



<h2 id="otkryt-http-localhost-8000-i-zagruzit-podozritelnyy-apk">Открыть http://localhost:8000 и загрузить подозрительный APK</h2>

<h2 id="mobsf-avtomaticheski-vyyavit">MobSF автоматически выявит:</h2>

<h2 id="podozritelnye-razresheniya">- Подозрительные разрешения</h2>

<h2 id="hce-komponenty">- HCE-компоненты</h2>

<h2 id="setevye-endpointy-v-kode">- Сетевые эндпоинты в коде</h2>

<h2 id="obfuskatsiyu">- Обфускацию</h2>

<h2 id="otsenku-bezopasnosti">- Оценку безопасности</h2>


#### Поиск C2-адресов в декомпилированном коде

bash
<h2 id="dekompilyatsiya-apk">Декомпиляция APK</h2>

jadx -d ./ngate_decompiled/ suspicious.apk



<h2 id="poisk-setevyh-adresov">Поиск сетевых адресов</h2>

grep -r "ws://\|wss://\|http://\|https://" ./ngate_decompiled/ \

    --include="*.java" | grep -v "import\|//"



<h2 id="poisk-nfcgate-spetsifichnyh-strok">Поиск NFCGate-специфичных строк</h2>

grep -r "NFCGate\|nfcgate\|relay\|CardEmulation" \

    ./ngate_decompiled/ --include="*.java"



<h2 id="poisk-ip-adresov">Поиск IP-адресов</h2>

grep -r "\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b" \

    ./ngate_decompiled/ --include="*.java"




Пошаговое удаление NGate с Android-устройства


Если NGate обнаружен на устройстве, действуйте в следующем порядке.

#### Немедленные действия

Шаг 1: Изолируйте устройство. Переведите в авиарежим немедленно. Это прервёт NFC-ретрансляцию, соединение с C2 и предотвратит дальнейшее использование карт через ваш телефон.

Шаг 2: Заблокируйте банковскую карту. Позвоните в банк (номер на обороте карты, не в приложении!) или через интернет-банк с другого устройства. Попросите заблокировать карту и проверить транзакции за последние дни.

Шаг 3: Смените PIN-код карты. Если вы сообщили PIN злоумышленнику — смените его в банкомате вашего банка (с другой карты или вместе с получением новой).

#### Удаление вредоносного приложения

bash
<h2 id="cherez-adb-rekomenduetsya">Через ADB (рекомендуется)</h2>




<h2 id="shag-1-prinuditelno-ostanovit-prilozhenie">Шаг 1: Принудительно остановить приложение</h2>

adb shell am force-stop [имя.вредоносного.пакета]



<h2 id="shag-2-otklyuchit-nfc-chtoby-prekratit-emulyatsiyu">Шаг 2: Отключить NFC чтобы прекратить эмуляцию</h2>

adb shell svc nfc disable



<h2 id="shag-3-udalit-prilozhenie">Шаг 3: Удалить приложение</h2>

adb uninstall [имя.вредоносного.пакета]



<h2 id="shag-4-proverit-chto-prilozheniya-net">Шаг 4: Проверить что приложения нет</h2>

adb shell pm list packages | grep [ключевое.слово]


Через интерфейс Android: Settings → Apps → [найти подозрительное приложение] → Force Stop → Uninstall.

Если кнопка Uninstall недоступна — проверьте: Settings → Security → Device Admin Apps — и сначала отзовите права Device Admin у подозрительного приложения.

#### После удаления: обязательные действия

Смените пароли от интернет-банка — с чистого устройства. Проверьте историю транзакций за период с момента вероятного заражения. Сообщите банку об инциденте — для возможного оспаривания несанкционированных транзакций. Просмотрите все PWA-приложения: Settings → Apps → в фильтре выберите «Web apps» или проверьте все приложения без иконок Play Store.

#### Когда нужен полный сброс

Если: вы не уверены в полноте удаления, устройство ведёт себя аномально после удаления, NGate имел права Device Admin и вы не уверены что все компоненты удалены — выполните заводской сброс. Перед сбросом сохраните важные данные (фото, контакты) на чистый носитель. Резервную копию для восстановления не используйте — она может содержать вредоносное приложение.



Как банки и платёжные системы могут защититься


Понимание того, что могут сделать финансовые институты для противодействия NGate, важно для специалистов банковской безопасности.

#### Лимиты на бесконтактные операции

Наиболее эффективная немедленная мера — снижение лимита бесконтактных транзакций без PIN или полное требование PIN для всех операций. Многие европейские банки пересмотрели лимиты после публикации исследования ESET. В России Центральный Банк устанавливает максимальный лимит — 3000 рублей — и банки могут устанавливать более низкие значения по запросу клиента.

#### Геолокационный анализ транзакций

Транзакция в банкомате в Москве при том что телефон жертвы (по геоданным банковского приложения) находится в другом месте — аномалия, которую система фрод-мониторинга должна улавливать. Технически это требует: получения геолокации через мобильное банковское приложение с согласия клиента, корреляции геолокации устройства и местоположения банкомата в реальном времени.

#### Мониторинг временны́х аномалий NFC

NFC-ретрансляция через интернет добавляет задержку — обычно 100–300 мс сверх нормального времени транзакции. Детектирование аномально высокой задержки в EMV-транзакциях потенциально позволяет выявлять ретрансляционные атаки. Это активно исследуется как защитный механизм.

#### Верификация криптограммы по устройству

Некоторые банки реализуют схемы, в которых криптограм транзакции частично привязан к конкретному устройству (через secure element, TEE или soft-tokenization). Это не позволяет использовать ретранслированные данные без наличия реального secure element устройства.



Защита пользователя: практические меры против NFC-атак


Практические рекомендации для защиты от NGate и аналогичных угроз.

#### Правило № 1: Только официальные источники

Банковские приложения — исключительно из Google Play (для Android) или App Store (для iOS). Никогда по ссылке из SMS, мессенджера, email или QR-кода. Проверяйте разработчика в Google Play — настоящее приложение Сбербанка издаётся «ПАО Сбербанк», а не третьими лицами.

#### Правило № 2: Бдительность с звонками «от банка»

Банк никогда не просит: продиктовать PIN-код по телефону, установить приложение по ссылке из SMS, ввести PIN в любое приложение «для верификации», продиктовать код из SMS. При звонке «от банка» — прервите разговор и перезвоните по номеру, указанному на обороте карты.

#### Правило № 3: Управление NFC

Отключайте NFC когда он не нужен: Settings → Connected devices → NFC → Off. Это не только защита от NGate, но и от других NFC-атак. Включайте NFC только перед оплатой и выключайте сразу после.

#### Правило № 4: Физическая защита карт

Используйте кошельки с RFID-защитой (блокируют NFC-сигнал) для ваших банковских карт. Это не защищает от NGate (который работает через уже заражённый телефон), но защищает от прямого NFC-скимминга.

#### Правило № 5: Мониторинг операций по карте

Включите push-уведомления о каждой транзакции. Мгновенное уведомление о несанкционированной операции позволяет оперативно заблокировать карту. Регулярно проверяйте историю операций в мобильном банке.

#### Правило № 6: Лимиты на бесконтактные операции

В мобильном банке или по звонку в банк установите лимит на бесконтактные операции без PIN — можно снизить до минимума или вовсе отключить бесконтактную оплату. Также можно запросить карту без NFC (с отключённым чипом бесконтактной оплаты).



NGate в корпоративной среде: риски для организаций


NGate создаёт специфические риски для корпоративных сред.

#### Корпоративные карты сотрудников

Корпоративные карты для командировочных расходов, представительских расходов, закупок — особенно привлекательная цель. Компрометация телефона финансового директора или главного бухгалтера потенциально открывает доступ к картам с высокими лимитами.

#### Пропускные системы на основе NFC

NFC-карты доступа (RFID/NFC-пропуски) могут быть ретранслированы аналогичным образом. Если злоумышленник имеет доступ к заражённому телефону сотрудника, он потенциально может ретранслировать данные пропуска и получить физический доступ в защищённые зоны. Это менее задокументированный, но теоретически возможный вектор для промышленного шпионажа.

#### Рекомендации для ИБ-служб

Включите мониторинг мобильных устройств в MDM-политику с проверкой установленных приложений. Проводите обучение сотрудников о рисках фишинговых банковских приложений и вишинга. Рассмотрите политику отключения NFC на корпоративных устройствах за пределами авторизованных сценариев использования. Для высокорисковых должностей — ограничьте установку приложений только из утверждённого корпоративного каталога.



Место NGate в ландшафте мобильных банковских угроз


NGate — не изолированная угроза, а часть эволюционирующего ландшафта мобильного банковского мошенничества.

#### Сравнение с другими банковскими троянами

Классические банковские трояны (Cerberus, Anubis, Hydra) перехватывают учётные данные через overlay-атаки и SMS с кодами. Против них защищают: двухфакторная аутентификация через отдельное устройство, антивирусное ПО. NGate не нуждается в перехвате кодов — он действует на уровне физического уровня карты.

Скиммеры (физические и программные) клонируют данные карты для создания дубликата. Защита — чип EMV, делающий клонирование бесполезным (транзакция с клоном не пройдёт). NGate обходит эту защиту, работая с оригинальной картой в режиме «прямого эфира».

Дропы и курьеры (физическое мошенничество) — злоумышленник физически крадёт или перехватывает карту. NGate позволяет «использовать» карту без её физического хищения — жертва не замечает пропажи.

#### Уникальность NGate

NGate уникален тем, что атакует физический уровень — NFC-взаимодействие карты с терминалом — через программный мост. Это потребовало пересмотра модели угроз для бесконтактных платёжных систем.

После публикации исследования ESET стандарты EMVCo и Visa/Mastercard начали рассматривать обновление спецификаций для введения защит от ретрансляционных атак, включая анализ задержки и криптографическую привязку к устройству.



Криминалистика: восстановление событий после инцидента


Для ИБ-специалистов и следователей — методология восстановления событий при подозрении на инцидент с NGate.

#### Криминалистический сбор данных

bash
<h2 id="1-sobrat-polnyy-bugreport-do-udaleniya-vredonosnogo-po">1. Собрать полный bugreport ДО удаления вредоносного ПО</h2>

adb bugreport ngate_incident_report.zip



<h2 id="2-izvlech-apk-vredonosnogo-prilozheniya">2. Извлечь APK вредоносного приложения</h2>

adb shell pm path [имя.пакета]

adb pull [путь] evidence/malicious.apk

sha256sum evidence/malicious.apk > evidence/malicious.apk.sha256



<h2 id="3-sohranit-setevye-logi">3. Сохранить сетевые логи</h2>

adb shell dumpsys netstats > evidence/network_stats.txt

adb shell dumpsys connectivity > evidence/connectivity.txt



<h2 id="4-sohranit-dannye-batarei-pokazyvaet-aktivnost-prilozheniy">4. Сохранить данные батареи (показывает активность приложений)</h2>

adb shell dumpsys batterystats > evidence/battery_stats.txt



<h2 id="5-sohranit-logi-nfc">5. Сохранить логи NFC</h2>

adb shell dumpsys nfc > evidence/nfc_dump.txt



<h2 id="6-sistemnye-logi">6. Системные логи</h2>

adb logcat -d -b all > evidence/logcat_all.txt


#### Временна́я шкала событий

При расследовании восстановите: когда было установлено вредоносное приложение (из battery stats и package manager timestamps), когда NFC был включён и активен (из NFC dump и network stats), когда были входящие звонки (из call log), совпадают ли несанкционированные транзакции по времени с периодами активности вредоносного ПО.

bash
<h2 id="vremya-ustanovki-paketa">Время установки пакета</h2>

adb shell stat $(adb shell pm path [имя.пакета] | cut -d: -f2) 2>/dev/null



<h2 id="istoriya-vhodyaschih-soedineniy">История входящих соединений</h2>

adb shell dumpsys netstats | grep -A5 "[имя.пакета]"




Правовой аспект: что делать если стали жертвой


Практическое руководство для жертв NGate-атаки.

#### Первые 24 часа

Немедленно заблокируйте все карты через контакт-центр банка. Обратитесь в банк письменным заявлением об оспаривании несанкционированных транзакций — сделать это нужно как можно скорее, срок оспаривания обычно ограничен. Сохраните все доказательства: скриншоты, сообщения, историю установленных приложений.

#### Заявление в полицию

Подайте заявление в полицию по статье 159.3 УК РФ (мошенничество с использованием электронных средств платежа) или 272 УК РФ (неправомерный доступ к компьютерной информации). К заявлению приложите: распечатку несанкционированных транзакций, доказательства фишинга (SMS, скриншоты), технические данные вредоносного приложения.

#### Оспаривание транзакций в банке

По закону о национальной платёжной системе (161-ФЗ) банк обязан рассмотреть заявление о несанкционированной операции. При мошенничестве с использованием вредоносного ПО у клиента есть основания для возврата средств — особенно если он незамедлительно уведомил банк. Банк обязан вернуть средства если не докажет, что клиент нарушил правила использования карты (то есть если PIN не был передан добровольно).



Часто задаваемые вопросы (FAQ)


#### Вопрос 1: Работает ли NGate на iPhone?

Нет. NGate и его NFC-ретрансляционный компонент не работает на iOS по нескольким причинам: Apple не предоставляет сторонним приложениям полный доступ к NFC-контроллеру; HCE (Host Card Emulation) — технология, используемая для эмуляции карты — не доступна в iOS; установка APK-файлов невозможна без jailbreak. NGate был задокументирован исключительно как Android-угроза.

#### Вопрос 2: Могут ли мои карты быть скомпрометированы без установки вредоносного приложения?

NGate требует установленного вредоносного ПО на устройство рядом с вашей картой. Просто держа карту в кармане рядом с чужим телефоном — недостаточно. Телефон злоумышленника не может считать NFC вашей карты через ткань одежды на расстоянии более 10–20 сантиметров, и тем более без вредоносного ПО. Угроза реализуется только через заражение вашего собственного устройства.

#### Вопрос 3: Защищает ли экранирующий кошелёк (RFID-blocking wallet) от NGate?

Частично. RFID/NFC-блокирующий кошелёк защищает карту от прямого скимминга (когда злоумышленник подносит считыватель к вашему кошельку). Но NGate работает иначе: он заражает ваш собственный телефон, который считывает карту когда вы сами её достаёте. Когда вы извлекаете карту из кошелька для оплаты — карта оказывается в зоне действия вашего заражённого телефона. Защита кошелька в этот момент не работает.

#### Вопрос 4: Как отличить настоящее банковское приложение от подделки?

Проверьте в Google Play: имя разработчика (должно совпадать с официальным названием банка), количество загрузок (у крупных банков — десятки миллионов), оценки и отзывы (подделки часто имеют мало отзывов или явно поддельные), дата публикации (настоящие банковские приложения существуют годами). Никогда не устанавливайте приложения по ссылкам — заходите в Play Store и ищите приложение вручную.

#### Вопрос 5: Защищает ли антивирус для Android от NGate?

Антивирус повышает вероятность обнаружения, но не гарантирует его. ESET — та же компания, которая исследовала NGate — предоставляет мобильный антивирус. Образцы NGate, поданные на VirusTotal, детектировались не всеми антивирусными движками. Антивирус — важный, но не единственный уровень защиты. Главная защита — не устанавливать приложения из ненадёжных источников.

#### Вопрос 6: Что делать если банк отказывает в возврате средств?

Оспорьте решение через Финансового омбудсмена (в России — уполномоченный по правам потребителей финансовых услуг, finombudsman.ru). Решение омбудсмена обязательно для банков. При несогласии с решением омбудсмена — суд. Также подайте жалобу в Банк России через официальный сайт cbr.ru — это активирует регуляторный надзор над поведением банка.

#### Вопрос 7: NGate может распространяться на другие устройства из заражённого?

Нет, NGate не является червём и не распространяется самостоятельно по сети. Каждое заражение происходит через отдельный фишинговый вектор (SMS, звонок). Однако заражённое устройство может использоваться злоумышленником для рассылки фишинговых сообщений контактам жертвы.

#### Вопрос 8: Как узнать, что моя карта была скомпрометирована через NGate?

Основные признаки: несанкционированные снятия наличных в банкоматах в местах, где вас не было; транзакции в то время, когда ваша карта физически была у вас; ваш банк уведомил о подозрительной активности. Регулярный мониторинг транзакций через push-уведомления позволяет выявить проблему немедленно.



Заключение: NFC-безопасность в 2026 году


NGate стал важнейшим напоминанием о том, что эволюция платёжных технологий создаёт новые векторы угроз, которые не всегда учитываются в исходной модели безопасности. Разработчики бесконтактных платёжных систем исходили из физического ограничения расстояния как защитного барьера — NGate разрушил это допущение.

#### Ключевые выводы

Фундаментальная проблема — архитектурная. EMV Contactless не имеет встроенной защиты от ретрансляции, потому что при проектировании этот сценарий не рассматривался как реальная угроза. Исправление потребует обновления стандартов — работа, которую начали EMVCo и платёжные системы после публикации исследования ESET.

Главная защита находится на уровне пользователя. Никакие технические меры не компенсируют установку вредоносного приложения пользователем. Осведомлённость о том, что банковские приложения устанавливаются только из официальных магазинов — самая эффективная защита.

Социальная инженерия — неотъемлемая часть атаки. NGate требует и технического заражения, и получения PIN через вишинг. Устойчивость к телефонному мошенничеству (никогда не сообщать PIN по телефону) существенно снижает риск.

Мониторинг транзакций в реальном времени критичен. Push-уведомления о каждой транзакции — минимально необходимая мера для своевременного обнаружения несанкционированных операций.