Mir Pay пропал? Проверьте настройки NFC немедленно

К системе NFC все уже давно привыкли: разблокировали телефон, приложили к терминалу, услышали «пик» — покупка завершена. За крошечной катушкой внутри смартфона скрывается масштабная инфраструктура: международные стандарты EMV, токенизация, криптография и десятки узкоспециализированных чипов. В 2025 году эта экосистема столкнулась с новой угрозой: троян NFCGate v3.0 научился перехватывать роль «платёжного приложения» и направлять токены в кошелёк злоумышленника. Только за I квартал ущерб в России превысил 432 млн рублей. Чтобы понять, как одно нажатие OK превращает смартфон в карманные врата для хакера , разберём технологию и саму атаку с максимально подробно.

NFC под микроскопом: физика, протоколы и защитные слои

NFC — это крошечный радиомодуль в смартфоне (обычно припаян рядом с беспроводной зарядкой) плюс плоская медная катушка, наклеенная вокруг аккумулятора. Катушка служит антенной: когда вы подносите телефон к терминалу, две катушки оказываются почти вплотную и образуют общее магнитное поле.

Как проходит оплата по NFC — пошагово

1. Установление связи. Катушка телефона и катушка терминала входят в общий магнитный контур. Смартфон «просыпается» и сообщает терминалу, что готов работать в режиме эмуляции банковской карты.
2. Формирование токена. Защищённый чип (Secure Element / TPM) берёт реальный номер карты и с помощью ключей банка генерирует одноразовый 16-значный токен плюс криптографическую подпись. Настоящие данные карты остаются внутри чипа.
3. Передача токена терминалу. Смартфон посылает токен и подпись по протоколу ISO 14443. Терминал больше ничего «не знает» — он работает так, будто это обычная банковская карта.
4. Проверка в платёжной сети. Терминал отправляет токен процессинговому центру. Банк-эмитент расшифровывает токен, сопоставляет его с реальной картой и проверяет подпись.
5. Ответ «Approved» или «Declined». Если всё верно и средств хватает, банк возвращает «Approved». Терминал печатает чек, а смартфон показывает анимацию успешной оплаты.

Secure Element vs Host Card Emulation

Раньше бесконтактная оплата на Android работала исключительно через Secure Element (SE) — это отдельный микрочип внутри телефона, физически «огороженный» от операционной системы. В SE лежали все секретные ключи, а само приложение-кошелёк выступало лишь посредником: оно посылало запрос, а чип формировал токен и отдавал его терминалу. У злоумышленника не было шансов подменить процесс: чтобы изменить содержимое SE, пришлось бы разбирать аппарат под микроскопом.

В 2013 году Google ввёл режим Host Card Emulation (HCE). Логика проста: современным смартфонам уже не нужен отдельный банковский чип, потому что есть защищённый участок процессора — TPM (Trusted Platform Module) и программное хранилище ключей KeyStore. Теперь токен формируется программно: приложение обращается к KeyStore, получает одноразовый набор цифр и передаёт его терминалу.

У такого подхода два плюса и один серьёзный минус.

• Производителям дешевле — не нужно ставить отдельный SE.
• Банкам проще обновлять алгоритмы — всё делается кодом, без перепайки железа.

Минус: раз приложение стало главным звеном, Android должен понять, какому приложению можно доверять роль «основного платёжного». Система выводит пользователю стандартное окно «Сделать это приложение платёжным по умолчанию?». Если человек ошибочно нажмёт «ОК» (например, поверив звонку «из банка»), любое неблагонадёжное APK получит доступ к токенам и сможет подменять карты. Именно этой лазейкой доверия и пользуется троян: он не ломает шифрование, а просто становится главным кошельком с разрешения самого владельца телефона. Но обо всем по порядку. 

Токенизация EMV — зачем терминалу фальшивый номер

Протокол EMVCo заменяет номер карты (PAN) на одноразовый 16-значный токен. Даже если злоумышленник перехватит его, повторно использовать не сможет: фактический PAN хранится только у банка-эмитента. Троян NFCGate действует тоньше: он подменяет сам процесс токенизации, записывая в хранилище токены карты преступника, так что транзакция изначально идёт куда надо.

От студенческого проекта к массовой угрозе: эволюция NFCGate

Когда немецкие студенты выложили NFCGate на GitHub в 2015 году, это был безобидный «лабораторный» инструмент. Он делал две вещи:

• Записывал радиопакеты NFC, то есть сохранял «диалоги» между телефоном и терминалом для последующего изучения.
• Требовал root-доступ, а значит, работал только на разблокированных («рутованных») устройствах, что автоматически ограничивало круг пользователей энтузиастами.

Но открытый исходный код — палка о двух концах. Как только проект попал на теневые форумы, началась его «эволюция»:

1. Удалили требование root. Приложение стало ставиться на любой Android, достаточно пары нажатий «Далее».
2. Добавили удобный интерфейс «Эмулировать карту», чтобы перехватывать и воспроизводить токены без командной строки.
3. Научили скрывать иконку и менять название пакета, маскируясь под Mir Pay или сервис ЦБ.
4. В версии 3.0 (2025 г.) появился авто-запрос роли «платёжного по умолчанию», благодаря чему троян перехватывает все бесконтактные платежи без единой дополнительной настройки.

Подробный сценарий атаки

1. Телефонный звонок. Звонящий представляется «службой поддержки Mir Pay» или «консультантом ЦБ по цифровому рублю». Вежливо сообщают о «переходе на новый протокол NFC» — иначе терминалы скоро «не примут» карту.
2. Установка APK. Ссылку присылают в мессенджере; файл подписан «RU-Digital-Pay.apk». После установки ОС выводит системный диалог: «Сделать приложение платёжным по умолчанию?» — пользователь, чтобы «не потерять кэшбэк», жмёт «Да».
3. Подмена токенов. NFCGate связывается с командным сервером (список имён C&C зашит в код), скачивает пакет токенов и пишет их в KeyStore. На экране ничего не происходит — пользователь думает, что «обновление прошло успешно».
4. «Проверочный» банкомат. Чтобы украсть крупную сумму, мошенник просит ввести новый PIN, «связанный с цифровым кошельком». На самом деле это PIN карты дропа, куда и уходят деньги.

Замечание: трояну не нужны root-права, потому что Android разрешает одному «главному» приложению формировать токены. Злоумышленники просто заменяют легальное приложение в этой роли.

Когда стоит бить тревогу

Атака проходит тихо, но несколько косвенных признаков выдают проблему:

• Появились двойные списания — терминал дважды «пикнул», а кассир пробил товар один раз.
• В мобильный банк прилетело уведомление: «Вы изменили платёжное приложение по умолчанию».
• В истории установок Google Play есть «Digital Pay RU», хотя вы ставили только Mir Pay.
• Телефон просит поставку NFC-платежа Face ID / Touch ID, хотя раньше вы пользовались только PIN.

Защита: расширенный чек-лист

1. Отключите установку APK извне, если действительно не нужна (Настройки → Безопасность → Источники).
2. Каждую транзакцию подтверждайте биометрией. Даже выбранное вредоносное приложение не получит токен без отпечатка.
3. Смотрите логи NFC. В Android 12+ Настройки → Подключённые устройства → Параметры соединения → NFC → История операций: там фиксируется каждая попытка оплаты.
4. Вклады на «повышенную ставку» оформляйте лично в отделении — ни один банк не просит ставить APK для повышения процента.
5. Установите антивирус с реактивным анализом APK, который сканирует фоновый трафик (например, Kaspersky Mobile, Dr.Web Light).
6. Заведите вторую карту «для покупок» с лимитом 5–10 тыс. ₽ и держите основную в «замороженном» состоянии.

Вывод: безопасность NFC — это баланс удобства и бдительности

NFC дал нам секунды вместо минут на кассе, но ценой ещё одной точки атаки. Троян NFCGate использует лазейку HCE и человеческое доверие: одно согласие в системном окне — и платёжные токены переходят на тёмную сторону силы. К счастью, уязвимостью можно управлять: не ставьте APK из чата, регулярно смотрите, какое приложение «главное» для NFC, и заставьте телефон спрашивать отпечаток или лицо при каждой покупке. Тогда даже самая новая версия NFCGate упрётся в биометрический экран, а ваши деньги останутся на родном счёте, а не в чужом кошельке.