O nouă variantă a malware-ului NGate pentru Android folosește o aplicație NFC pentru a fura datele cardurilor

Cercetătorii în domeniul securității cibernetice au descoperit o nouă versiune a unei familii de malware pentru Android, numită NGate, care se dovedește că abuzează de o aplicație legitimă numită HandyPay, în locul aplicației NFCGate.

Varianta recent descoperită a malware-ului NGate pentru Android abuzează de o aplicație legitimă de plată NFC pentru a fura datele cardurilor și codurile PIN ale victimelor, permițând atacatorilor să efectueze retrageri și plăți fără contact, potrivit BleepingComputer.

NGate a fost documentat inițial la mijlocul anului 2024 ca malware care fură informațiile cardurilor de plată prin intermediul cipului de comunicație în câmp apropiat (NFC) al dispozitivului mobil.

Datele erau trimise atacatorului, care crea apoi carduri virtuale utilizate pentru achiziții neautorizate sau pentru retrageri de numerar de la bancomate cu suport NFC.

În versiunile anterioare, malware-ul folosea un instrument open-source numit NFCGate pentru a captura, transmite și reda informațiile cardurilor de plată.

Potrivit cercetătorilor ESET, care și-au detaliat concluziile într-un raport, varianta actualizată a NGate înlocuiește instrumentul NFCGate, folosit anterior, cu o versiune troianizată a HandyPay, o aplicație Android legitimă concepută pentru a transmite date de plată NFC între dispozitive. Campania rău intenționată pare să fi început în jurul lunii noiembrie 2025 și rămâne activă, iar dovezile sugerează că un singur atacator orchestrează întreaga operațiune.

Spre deosebire de atacurile NGate anterioare, această campanie introduce mecanisme mai avansate de inginerie socială și distribuire. ESET a observat două metode distincte de distribuire: un site web fals de loterie care se dădea drept „Rio de Prêmios” și o pagină Google Play contrafăcută care promova o aplicație falsă de „protecție a cardurilor”. Ambele căi de infectare distribuie, în cele din urmă, o aplicație HandyPay modificată, care include cod rău intenționat.

HandyPay în sine este o aplicație legitimă disponibilă pe Google Play din 2021, concepută pentru a permite utilizatorilor să partajeze date de card NFC între dispozitive pentru plăți. În scenariul de atac, însă, infractorii cibernetici au modificat aplicația pentru a intercepta în secret date sensibile. Odată instalată, aplicația troianizată solicită victimelor să introducă PIN-ul cardului de plată și să apropie cardul de dispozitiv. Malware-ul transmite apoi datele NFC către un telefon controlat de atacator, în timp ce extrage separat codul PIN către un server de comandă și control (C&C), prin intermediul protocolului HTTP.

ESET raportează că codul rău intenționat injectat în HandyPay prezintă semne că a fost generat sau asistat de modele de inteligență artificială, inclusiv prezența emoji-urilor, un artefact asociat în mod obișnuit cu codul generat de IA.

Din punct de vedere tehnic, malware-ul necesită permisiuni minime și se bazează pe inginerie socială, mai degrabă decât pe exploatarea vulnerabilităților sistemului de operare. Victimele sunt păcălite să activeze instalarea aplicațiilor din surse necunoscute și să seteze aplicația ca serviciu de plată implicit. Funcționalitatea de retransmitere NFC, destinată inițial unei utilizări legitime, permite atacatorilor să emuleze cardul victimei pe propriul dispozitiv și să retragă numerar de la bancomate.

ESET observă, de asemenea, că infrastructura campaniei este centralizată, același server fiind utilizat atât pentru distribuirea malware-ului, cât și pentru colectarea codurilor PIN furate. Analiza malware-ului a dezvăluit jurnale de la dispozitive compromise din Brazilia, inclusiv coduri PIN capturate, adrese IP și timestamp-uri, ceea ce indică o exploatare în lumea reală.

Trecerea de la utilizarea instrumentelor de retransmitere NFC disponibile pe piață sau a platformelor de tip „malware-as-a-service” la modificarea unei aplicații legitime pare să fie motivată financiar. Costurile de abonament pentru instrumentele NFC din underground pot ajunge la sute de dolari pe lună, în timp ce HandyPay oferă funcționalități similare la o fracțiune din cost sau chiar gratuit, ceea ce o face o alternativă atractivă pentru atacatori.

Pentru a reduce riscul de infectare, utilizatorii ar trebui să evite instalarea de aplicații din surse neoficiale sau din linkuri primite prin SMS sau aplicații de mesagerie, în special cele care promit recompense financiare.

De asemenea, este esențial să nu introduceți niciodată codurile PIN ale cardurilor de plată în aplicații mobile, cu excepția cazului în care sunteți absolut siguri de legitimitatea acestora, și să mențineți NFC dezactivat atunci când nu îl utilizați. Activarea Google Play Protect poate ajuta la detectarea și blocarea amenințărilor cunoscute, precum NGate.