NGate сменил маску: троянизированное NFC-приложение крадет PIN и уводит данные карты на устройство атакующего

22.04.2026

Исследователи обнаружили новую версию Android-малвари NGate, которая теперь маскируется не под банковский троян, а под модифицированное легитимное NFC-приложение HandyPay. Кампания активна как минимум с ноября 2025 года и нацелена на пользователей в Бразилии. Вредонос распространяется через фейковый сайт лотереи Rio de Prêmios и поддельную страницу Google Play с приложением «Proteção Cartão».

Схема атаки построена вокруг NFC-релея. Жертву убеждают вручную установить APK вне Google Play, после чего приложение просит ввести PIN банковской карты и приложить карту к смартфону с включенным NFC. Дальше встроенный в HandyPay вредонос пересылает NFC-данные карты на устройство оператора, привязанное к захардкоженному email внутри приложения. Это позволяет использовать карту для бесконтактного снятия наличных в банкоматах и несанкционированных платежей. Сам PIN уходит отдельно на C2-сервер по HTTP, то есть атакующий получает и данные карты, и код подтверждения.

От предыдущих итераций NGate эта версия отличается тем, что вместо инструмента NFCGate злоумышленники троянизировали уже существующее приложение с NFC-функциями. Такой подход дешевле, выглядит правдоподобнее и почти не требует разрешений: приложению достаточно стать платежным приложением по умолчанию, а дополнительных permissions оно не запрашивает. Исследователи также заметили в коде признаки использования генеративного ИИ - в логах остались эмодзи и текстовые конструкции, типичные для AI-сгенерированных фрагментов.