NGate Android малициозен софтвер ја користи апликацијата HandyPay за кражба на податоци од картички

Нова варијанта на малициозниот софтвер NGate, кој краде NFC платежни податоци, ги таргетира Android корисниците така што се крие во тројанизирана верзија на HandyPay, легитимна апликација за обработка на мобилни плаќања.

NGate првично беше документиран во средината на 2024 година и краде информации од платежни картички преку NFC (near-field communication) чипот на мобилниот уред.

Податоците потоа се испраќаат до напаѓачот, кој креира виртуелни картички што се користат за неовластени купувања или повлекување готовина од банкомати со NFC поддршка. Во претходните верзии, малициозниот софтвер користел алатка со отворен код наречена NFCGate за пресретнување, пренесување и повторна употреба на податоците од картичките.

Новото истражување на ESET открива нова варијанта која користи модифицирана верзија на апликацијата HandyPay, во која е вметнат злонамерен код за изведување на операции за кражба на податоци.

Истражувачите откриле дека кодот во новиот NGate малициозен софтвер содржи емотикони, што може да укажува на користење на генеративна AI алатка при неговиот развој.

NGate ја злоупотребува функционалноста за NFC пренос на податоци од HandyPay, која е достапна на Google Play од 2021 година, за да ги извлече (exfiltrate) информациите од платежните картички.

ESET смета дека причината за премин од NFCGate кон HandyPay најверојатно е финансиска, но и потреба од прикривање (evasion). Истражувачите нагласуваат дека NFC алатки за релеј напад како NFU Pay и TX-NFC се скапи и „бучни“ (лесно забележливи на заразени уреди).

NFU Pay, на пример, се рекламира по цена од речиси 400 долари месечно, додека TX-NFC чини околу 500 долари месечно. HandyPay, пак, е значително поевтин и бара само околу 9,99 евра месечно како „донација“, па дури и тоа не секогаш.

Дополнително, HandyPay природно не бара посебни дозволи освен да биде поставен како default payment app, што им помага на напаѓачите да избегнат сомнеж.

Во однос на таргетирањето, ESET известува дека кампањата со оваа нова варијанта е активна од ноември 2025 година и примарно таргетира Android уреди во Бразил.

Кампањата користи две главни методи на дистрибуција:
– лажна апликација „Proteção Cartão“ која ветува заштита на картички и е хостирана на лажна Google Play страница
– лажна веб-страница за лотарија каде корисниците „освојуваат награда“ и се пренасочуваат кон WhatsApp, од каде на крај се наведуваат да симнат злонамерен APK.

По инсталацијата, апликацијата ги наведува корисниците да ја постават како стандардна NFC апликација за плаќање, потоа бара да го внесат PIN-от од картичката и ги тера да ја доближат (тапнат) картичката до телефонот за да се прочита.

Сите податоци собрани на овој начин се испраќаат на е-пошта на напаѓачот, која е „hardcoded“ (вградена директно) во апликацијата.

На корисниците на Android им се советува никогаш да не преземаат APK датотеки надвор од Google Play освен ако целосно не му веруваат на издавачот, да го исклучат NFC ако не им е потребен и да користат проверка со Google Play Protect, кој може да ги открие и блокира најновите варијанти на NGate.

Извори:

• Bleeping Computer – NGate Android malware uses HandyPay NFC app to steal card data Bleeping Computer