- Специальный корреспондент
21 тысяча подписчиков в Telegram, $355 тысяч украденных за год, задержания от Праги до Теннесси.
Исследователи Group-IB зафиксировали, что на теневом рынке быстро множатся Android-вредоносы, которые используют NFC и имитируют бесконтактную оплату. Разработку и продажу таких приложений они связывают с китайскоязычными криминальными сообществами в Telegram. Внутри этих чатов инструменты нередко продвигают как CardWallet или remote pay, а в англоязычных обсуждениях за ними закрепилось название Ghost Tap.
Схема строится на перехвате и «прокидывании» NFC-обмена. На стороне жертвы оказывается телефон или кошелек с платежными картами, данные которых уже скомпрометированы. На стороне злоумышленника находится второй смартфон, который принимает этот обмен и позволяет провести оплату или вывести деньги так, будто карта физически лежит рядом с терминалом. В типовом варианте связующим звеном выступает сервер управления (C2): через него платежные данные передаются от устройства жертвы к устройству атакующего, а затем используются для операций через POS-терминалы.
По данным публичных расследований, терминалы иногда продают сами партнеры продавцов вредоносов, чтобы у покупателей инструмента сразу была вся инфраструктура под ключ.
Group-IB отмечает, что жертв часто подводят к установке таких приложений через смс-атаки и звонки с социальной инженерией. В этих сценариях людей убеждают поставить «нужную» программу и приложить банковскую карту к телефону. После этого данные бесконтактного взаимодействия уходят на C2, а на другой стороне цепочки злоумышленник проводит операции либо напрямую, либо через сеть дропов, которые ходят в обычные магазины и расплачиваются на кассе модифицированным tap-to-pay приложением.
Есть и другой путь: вместо работы с конкретными людьми преступники используют устройства с мобильными кошельками, где уже заранее добавлены скомпрометированные карты. Публичные сообщения о задержаниях в разных странах также указывают на использование сетей «мулов», которые покупают товары офлайн, пользуясь такими приложениями.
В обоих вариантах схема почти всегда держится на двух приложениях с разными ролями:
— reader — устанавливается на устройство жертвы и взаимодействует с банковской картой
— tapper — работает на устройстве злоумышленника и проводит транзакции
С августа 2024 по август 2025 года в профессиональном сообществе упоминались несколько подобных семейств: NGate, ZNFC, SuperCard X и PhantomCard. В Threat Intelligence Portal Group-IB отдельно указывает, что клиентам доступны подробные профили TX-NFC, NFU Pay и других образцов.
В разных странах уже появлялись предупреждения и громкие задержания. Например, в марте 2024 года полиция Чехии сообщала о задержании 22-летнего подозреваемого после жалобы на странные снятия наличных без физической карты. В октябре 2024 года Texas Bankers Association публиковала бюллетень о противодействии NFC-инструменту TRACK2 NFC. В ноябре 2024 года в Сингапуре задержали двух граждан Малайзии и трех граждан Китая за бесконтактные платежи в дорогих магазинах. В январе 2025 года Credit China — Sichuan описывала два случая атак с потерями не менее 13 тысяч долларов. В марте 2025 года в Теннесси были задержаны 11 граждан Китая после покупок подарочных карт на десятки тысяч долларов через Android-приложения.
Отчет Visa Payment Ecosystem Risk and Control за весну 2025 года также фиксирует продолжающееся использование NFC-вредоносов на базе NFCGate для relay-fraud (мошенничества с ретрансляцией сигнала).
Собранные данные указывают на то, что рынок уже неплохо сформировался и устоялся. Group-IB выделяет три крупных бренда: TX-NFC, X-NFC и NFU Pay. Помимо них действуют более мелкие продавцы, распространяющие варианты тех же программ под другими названиями. Функциональные различия между версиями минимальны и в основном касаются интерфейса и масштабов распространения.
TX-NFC — один из самых заметных продавцов. Его Telegram-канал появился 7 января 2025 года и на момент обнаружения насчитывал более 21 тысячи подписчиков. Поддержка велась на английском, работа шла по сменам. Доступ к приложению стоил от 45 долларов за сутки до 1050 долларов за 3 месяца. TX-NFC распространялся в виде двух отдельных приложений: reader и tapper.
X-NFC впервые появился в декабре 2024 года и быстро набрал более 5 тысяч участников. Его особенность — возможность переключать роль устройства между reader и tapper в рамках одного приложения.
NFU Pay был впервые замечен в апреле 2025 года. Несмотря на меньшее число подписчиков, приложение активно перепродавалось другими продавцами. NFU также поддерживает переключение ролей reader и tapper.
Анализ TX-NFC показал использование упаковщика 360 Jiagu. В манифесте приложение требует наличия NFC и эмуляции карты.
В TX-NFC используются LoginActivity для аутентификации и MainActivity для обработки NFC-событий. При обнаружении карты приложение отправляет APDU-команду 2PAY.SYS.DDF01 и извлекает доступные AID, после чего запускает WebSocketService для релея данных между reader и tapper через C2.
NFU отличается расширенным набором разрешений:
android.permission.NFC
android.permission.NFC_PREFERRED_PAYMENT_INFO
android.permission.WAKE_LOCK
android.permission.ACCESS_NETWORK_STATE
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.FOREGROUND_SERVICE
android.permission.FOREGROUND_SERVICE_DATA_SYNC
android.permission.USE_EXACT_ALARM
android.permission.VIBRATE
android.permission.SCHEDULE_EXACT_ALARM
NFU использует LoginActivity для выбора режима POS_terminal или Card_reader, а для передачи данных применяет MqttService, через который сообщения идут по WebSocket между устройствами.
Во время исследования сотрудники Group-IB выходили на продавцов под видом покупателей. Администратор NFU Pay утверждал, что делает кастомные сборки, в том числе с отключенной аутентификацией на стороне reader для ускорения атак. PhantomCard, по оценке исследователей, является вариантом NFU. TX-NFC, в свою очередь, имеет заметное сходство с проектом NFCProxy, доступным на GitHub.
Отдельную роль в схеме играют POS-терминалы. Group-IB описывает Telegram-канал Oedipus, связанный с продавцами tap-to-pay инструментов. Канал действует с ноября 2024 года и рекламирует терминалы из разных регионов мира. По данным из сообщений канала, с ноября 2024 по август 2025 через такие терминалы прошло около 355 тысяч долларов. В публикациях также встречаются чеки успешных транзакций.
Статистика Group-IB Fraud Protection за период с мая 2024 по декабрь 2025 года показывает устойчивый рост обнаружений tap-to-pay вредоносов. Появляются новые варианты, при этом старые продолжают работать.
В завершение Group-IB приводит рекомендации. Банкам и платежным системам советуют усиливать информирование клиентов, использовать threat intelligence, отслеживать аномалии при добавлении карт и проведении транзакций, а также ужесточать KYC. Пользователям рекомендуют с осторожностью относиться к сообщениям и звонкам, не устанавливать приложения из неизвестных источников, регулярно проверять настройки карт и сразу связываться с банком при подозрении на компрометацию.
Источник
Исследователи Group-IB зафиксировали, что на теневом рынке быстро множатся Android-вредоносы, которые используют NFC и имитируют бесконтактную оплату. Разработку и продажу таких приложений они связывают с китайскоязычными криминальными сообществами в Telegram. Внутри этих чатов инструменты нередко продвигают как CardWallet или remote pay, а в англоязычных обсуждениях за ними закрепилось название Ghost Tap.
Схема строится на перехвате и «прокидывании» NFC-обмена. На стороне жертвы оказывается телефон или кошелек с платежными картами, данные которых уже скомпрометированы. На стороне злоумышленника находится второй смартфон, который принимает этот обмен и позволяет провести оплату или вывести деньги так, будто карта физически лежит рядом с терминалом. В типовом варианте связующим звеном выступает сервер управления (C2): через него платежные данные передаются от устройства жертвы к устройству атакующего, а затем используются для операций через POS-терминалы.
По данным публичных расследований, терминалы иногда продают сами партнеры продавцов вредоносов, чтобы у покупателей инструмента сразу была вся инфраструктура под ключ.
Group-IB отмечает, что жертв часто подводят к установке таких приложений через смс-атаки и звонки с социальной инженерией. В этих сценариях людей убеждают поставить «нужную» программу и приложить банковскую карту к телефону. После этого данные бесконтактного взаимодействия уходят на C2, а на другой стороне цепочки злоумышленник проводит операции либо напрямую, либо через сеть дропов, которые ходят в обычные магазины и расплачиваются на кассе модифицированным tap-to-pay приложением.
Есть и другой путь: вместо работы с конкретными людьми преступники используют устройства с мобильными кошельками, где уже заранее добавлены скомпрометированные карты. Публичные сообщения о задержаниях в разных странах также указывают на использование сетей «мулов», которые покупают товары офлайн, пользуясь такими приложениями.
В обоих вариантах схема почти всегда держится на двух приложениях с разными ролями:
— reader — устанавливается на устройство жертвы и взаимодействует с банковской картой
— tapper — работает на устройстве злоумышленника и проводит транзакции
С августа 2024 по август 2025 года в профессиональном сообществе упоминались несколько подобных семейств: NGate, ZNFC, SuperCard X и PhantomCard. В Threat Intelligence Portal Group-IB отдельно указывает, что клиентам доступны подробные профили TX-NFC, NFU Pay и других образцов.
В разных странах уже появлялись предупреждения и громкие задержания. Например, в марте 2024 года полиция Чехии сообщала о задержании 22-летнего подозреваемого после жалобы на странные снятия наличных без физической карты. В октябре 2024 года Texas Bankers Association публиковала бюллетень о противодействии NFC-инструменту TRACK2 NFC. В ноябре 2024 года в Сингапуре задержали двух граждан Малайзии и трех граждан Китая за бесконтактные платежи в дорогих магазинах. В январе 2025 года Credit China — Sichuan описывала два случая атак с потерями не менее 13 тысяч долларов. В марте 2025 года в Теннесси были задержаны 11 граждан Китая после покупок подарочных карт на десятки тысяч долларов через Android-приложения.
Отчет Visa Payment Ecosystem Risk and Control за весну 2025 года также фиксирует продолжающееся использование NFC-вредоносов на базе NFCGate для relay-fraud (мошенничества с ретрансляцией сигнала).
Собранные данные указывают на то, что рынок уже неплохо сформировался и устоялся. Group-IB выделяет три крупных бренда: TX-NFC, X-NFC и NFU Pay. Помимо них действуют более мелкие продавцы, распространяющие варианты тех же программ под другими названиями. Функциональные различия между версиями минимальны и в основном касаются интерфейса и масштабов распространения.
TX-NFC — один из самых заметных продавцов. Его Telegram-канал появился 7 января 2025 года и на момент обнаружения насчитывал более 21 тысячи подписчиков. Поддержка велась на английском, работа шла по сменам. Доступ к приложению стоил от 45 долларов за сутки до 1050 долларов за 3 месяца. TX-NFC распространялся в виде двух отдельных приложений: reader и tapper.
X-NFC впервые появился в декабре 2024 года и быстро набрал более 5 тысяч участников. Его особенность — возможность переключать роль устройства между reader и tapper в рамках одного приложения.
NFU Pay был впервые замечен в апреле 2025 года. Несмотря на меньшее число подписчиков, приложение активно перепродавалось другими продавцами. NFU также поддерживает переключение ролей reader и tapper.
Анализ TX-NFC показал использование упаковщика 360 Jiagu. В манифесте приложение требует наличия NFC и эмуляции карты.
В TX-NFC используются LoginActivity для аутентификации и MainActivity для обработки NFC-событий. При обнаружении карты приложение отправляет APDU-команду 2PAY.SYS.DDF01 и извлекает доступные AID, после чего запускает WebSocketService для релея данных между reader и tapper через C2.
NFU отличается расширенным набором разрешений:
android.permission.NFC
android.permission.NFC_PREFERRED_PAYMENT_INFO
android.permission.WAKE_LOCK
android.permission.ACCESS_NETWORK_STATE
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.FOREGROUND_SERVICE
android.permission.FOREGROUND_SERVICE_DATA_SYNC
android.permission.USE_EXACT_ALARM
android.permission.VIBRATE
android.permission.SCHEDULE_EXACT_ALARM
NFU использует LoginActivity для выбора режима POS_terminal или Card_reader, а для передачи данных применяет MqttService, через который сообщения идут по WebSocket между устройствами.
Во время исследования сотрудники Group-IB выходили на продавцов под видом покупателей. Администратор NFU Pay утверждал, что делает кастомные сборки, в том числе с отключенной аутентификацией на стороне reader для ускорения атак. PhantomCard, по оценке исследователей, является вариантом NFU. TX-NFC, в свою очередь, имеет заметное сходство с проектом NFCProxy, доступным на GitHub.
Отдельную роль в схеме играют POS-терминалы. Group-IB описывает Telegram-канал Oedipus, связанный с продавцами tap-to-pay инструментов. Канал действует с ноября 2024 года и рекламирует терминалы из разных регионов мира. По данным из сообщений канала, с ноября 2024 по август 2025 через такие терминалы прошло около 355 тысяч долларов. В публикациях также встречаются чеки успешных транзакций.
Статистика Group-IB Fraud Protection за период с мая 2024 по декабрь 2025 года показывает устойчивый рост обнаружений tap-to-pay вредоносов. Появляются новые варианты, при этом старые продолжают работать.
В завершение Group-IB приводит рекомендации. Банкам и платежным системам советуют усиливать информирование клиентов, использовать threat intelligence, отслеживать аномалии при добавлении карт и проведении транзакций, а также ужесточать KYC. Пользователям рекомендуют с осторожностью относиться к сообщениям и звонкам, не устанавливать приложения из неизвестных источников, регулярно проверять настройки карт и сразу связываться с банком при подозрении на компрометацию.
Источник
