O nouă variantă de malware pentru Android, denumită NGate, a fost descoperită de cercetătorii în domeniul securității cibernetice. Aceasta folosește o aplicație legitimă de plăți NFC, HandyPay, pentru a fura datele cardurilor și codurile PIN ale victimelor. Atacatorii pot astfel efectua retrageri și plăți fără contact.
Cum funcționează atacul
Noua versiune a malware-ului NGate a fost observată de ESET, care a detaliat concluziile într-un raport. Acesta înlocuiește instrumentul NFCGate, utilizat anterior, cu o versiune troianizată a HandyPay. HandyPay este o aplicație Android care permite utilizatorilor să partajeze date NFC pentru plăți. Campania rău intenționată a început în jurul lunii noiembrie 2025 și este încă activă. Dovezile sugerează că un singur atacator orchestrează întreaga operațiune.
Victimele sunt păcălite să instaleze aplicații din surse necunoscute sau prin linkuri primite prin SMS sau aplicații de mesagerie. După instalare, aplicația troianizată solicită victimelor să introducă PIN-ul cardului și să apropie cardul de dispozitiv. Malware-ul oi datele NFC către un telefon controlat de atacator, în timp ce extrage separat codul PIN către un server de comandă și control (C&C), prin intermediul protocolului HTTP.
Metode de distribuție și pericolul ingineriei sociale
Campania utilizează metode avansate de inginerie socială și distribuție. ESET a observat două metode distincte de distribuire: un site web fals de loterie care se dădea drept „Rio de Prêmios” și o pagină Google Play contrafăcută care promova o aplicație falsă de „protecție a cardurilor”. Ambele căi de infectare distribuie, în cele din urmă, o aplicație HandyPay modificată, care include cod rău intenționat.
Malware-ul necesită permisiuni minime și se bazează pe inginerie socială, mai degrabă decât pe exploatarea vulnerabilităților sistemului de operare. Funcționalitatea de retransmitere NFC, inițial destinată unei utilizări legitime, permite atacatorilor să emuleze cardul victimei pe propriul dispozitiv și să retragă numerar de la bancomate.
Măsuri de protecție și riscuri financiare
Pentru a reduce riscul de infectare, utilizatorii ar trebui să evite instalarea de aplicații din surse neoficiale. Este esențial să nu introduceți niciodată codurile PIN ale cardurilor de plată în aplicații mobile, cu excepția cazului în care sunteți absolut siguri de legitimitatea acestora. De asemenea, NFC ar trebui menținut dezactivat atunci când nu este utilizat. Activarea Google Play Protect poate ajuta la detectarea și blocarea amenințărilor cunoscute, precum NGate.
Trecerea de la instrumente de retransmitere NFC disponibile pe piață la modificarea aplicațiilor legitime pare să fie motivată financiar. Costurile de abonament pentru instrumentele NFC pot ajunge la sute de dolari pe lună, în timp ce HandyPay oferă funcționalități similare la o fracțiune din cost sau chiar gratuit. Analiza malware-ului a dezvăluit jurnale de la dispozitive compromise din BRAZILIA, inclusiv coduri PIN capturate, adrese IP și timestamp-uri.
Sursa: Go4IT
