Новый вариант вредоносного ПО NGate, похищающего данные платежей по NFC, нацелен на пользователей Android, маскируясь под троянизированную версию HandyPay — легитимного инструмента для обработки мобильных платежей.
О вредоносном ПО NGate впервые стало известно в середине 2024 года; оно крадет информацию о платежных картах через чип ближней бесконтактной связи (NFC) мобильного устройства.
Данные отправляются злоумышленнику, который создает виртуальные карты для несанкционированных покупок или снятия наличных в банкоматах с поддержкой NFC.
В ранних версиях вредоносное ПО использовало инструмент с открытым исходным кодом под названием NFCGate для захвата, ретрансляции и повторного воспроизведения информации о платежных картах.
Новое исследование ESET подробно описывает новый вариант, который использует версию приложения HandyPay, в которую внедрен вредоносный код для облегчения операций по краже данных.
Исследователи обнаружили, что код в новом вредоносном ПО NGate содержит эмодзи, что может указывать на использование генеративного инструмента ИИ для разработки.
HandyPay доступен в Google Play с 2021 года и поддерживает передачу данных по NFC между устройствами — функция, которую NGate использует для эксфильтрации информации о картах.
ESET полагает, что причина перехода с NFCGate на HandyPay, вероятно, финансовая, но уклонение от обнаружения также играет ключевую роль. Исследователи подчеркивают высокую стоимость инструментов для ретрансляции NFC, таких как NFU Pay и TX-NFC, а также тот факт, что они являются «шумными» на зараженных устройствах.
«NFU Pay рекламирует свой продукт почти за 400 долларов США в месяц, а TX-NFC стоит около 500 долларов США в месяц. HandyPay, с другой стороны, значительно дешевле, требуя лишь пожертвование в размере 9,99 евро в месяц, если вообще что-либо», — объясняет ESET.
«Помимо цены, HandyPay по умолчанию не требует никаких разрешений, кроме как быть назначенным приложением для оплаты по умолчанию, что помогает злоумышленникам избежать привлечения внимания».
Что касается таргетинга, ESET сообщает, что кампания с использованием этого последнего варианта активна с ноября 2025 года и нацелена в основном на устройства Android в Бразилии.
Кампания опирается на два метода распространения. Один заманивает пользователей на загрузку поддельного приложения под названием «Proteção Cartão», которое обещает функции защиты карты и размещено на фальшивой странице Google Play.
Второй использует поддельный лотерейный сайт, где посетители «выигрывают приз» и перенаправляются в WhatsApp* для его получения, что в конечном итоге приводит к загрузке вредоносного APK.
После установки приложение предлагает пользователям установить его в качестве приложения для оплаты по NFC по умолчанию, запрашивает PIN-код карты и просит приложить карту к телефону для считывания.
Вся собранная таким образом информация передается на адрес электронной почты злоумышленника, жестко закодированный в приложении.
Пользователям Android рекомендуется никогда не загружать APK-файлы из источников за пределами Google Play, если они не доверяют издателю, отключать NFC, если он не используется, и сканировать на наличие угроз с помощью Play Protect, который обнаруживает и блокирует новейший вариант вредоносного ПО NGate.
99% того, что обнаружил Mythos, по-прежнему не исправлено.
ИИ объединил четыре уязвимости нулевого дня в один эксплойт, который обошел как рендерер, так и песочницы ОС. Грядет волна новых эксплойтов.
На саммите по автономной валидации (12 и 14 мая) узнайте, как автономная, контекстно-богатая валидация находит то, что можно использовать, доказывает эффективность мер контроля и замыкает цикл устранения уязвимостей.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
