Исследователи компании ESET обнаружили новую волну атак Android-зловреда NGate. На этот раз вредоносное ПО распространяется под видом легитимного приложения HandyPay, а не NFCGate, как это было ранее.
По данным специалистов, активность новой кампании началась ещё в ноябре 2025 года. Пользователей перенаправляют на фальшивые страницы, визуально копирующие Google Play, где предлагается скачать «официальное» приложение. На деле это троянизированная версия HandyPay.
После установки приложение запрашивает права на использование в качестве платежного средства по умолчанию. Далее жертву убеждают ввести PIN-код банковской карты и приложить её к смартфону с включённым NFC.
Именно в этот момент начинается атака.
Зловред перехватывает данные карты через NFC и передаёт их злоумышленникам. Одновременно он крадёт введённый PIN-код и отправляет его на командный сервер. В результате атакующие получают полный набор данных для бесконтактного снятия наличных в банкоматах или проведения несанкционированных платежей.
По сути, это новая эволюция семейства NGate, впервые подробно описанного ESET в августе 2024 года. Тогда атаки были нацелены на клиентов чешских банков и использовали NFC-релейные схемы для кражи данных карт и вывода средств через банкоматы.
Новая версия отличается сразу по нескольким направлениям — и географией атак, и инструментарием. Вместо прежних решений злоумышленники применили HandyPay, приложение с уже встроенной функцией релейной передачи NFC-данных. По оценке ESET, это снижает стоимость атаки и делает её менее подозрительной для пользователей, так как приложение не требует лишних разрешений, кроме статуса платежного приложения по умолчанию.
Отдельная деталь, на которую обратили внимание исследователи, — эмодзи в отладочных и системных сообщениях внутри кода. Это может косвенно указывать на использование генеративного ИИ при разработке или модификации вредоноса, хотя прямых доказательств этому нет.
Эксперты предупреждают: подобные атаки становятся всё более «маскируемыми» и технически доступными даже для менее квалифицированных злоумышленников.
