Pesquisadores de segurança cibernética descobriram uma nova versão de uma família de malware para Android chamada NGate , que foi identificada como exploradora de um aplicativo legítimo chamado HandyPay, em vez do NFCGate.
“Os agentes maliciosos pegaram o aplicativo, usado para transmitir dados NFC, e o modificaram com um código malicioso que parece ter sido gerado por inteligência artificial”, disse o pesquisador de segurança da ESET, Lukáš Štefanko , em um relatório compartilhado com o The Hacker News. “Assim como em versões anteriores do NGate, o código malicioso permite que os invasores transfiram dados NFC do cartão de pagamento da vítima para o próprio dispositivo e os usem para saques sem contato em caixas eletrônicos e pagamentos não autorizados.”
Além disso, a carga maliciosa é capaz de capturar o PIN do cartão de pagamento da vítima e enviá-lo para o servidor de comando e controle (C2) do agente da ameaça.
O NGate, também conhecido como NFSkate, foi documentado publicamente pela primeira vez pela empresa eslovaca de cibersegurança em agosto de 2024, detalhando sua capacidade de realizar ataques de retransmissão para extrair dados de pagamento sem contato das vítimas com o objetivo de realizar transações fraudulentas.
Um ano depois, a empresa holandesa de segurança móvel ThreatFabric detalhou uma ameaça com o codinome RatOn que usava aplicativos dropper, imitando versões adultas do TikTok, para implantar o NGate e realizar ataques de retransmissão NFC .
A versão mais recente do NGate detectada pela ESET teve como alvo principal usuários no Brasil, marcando a primeira campanha desse tipo a visar especificamente o país sul-americano. O aplicativo HandyPay, infectado por um trojan, é distribuído por meio de sites que se fazem passar pelo Rio de Prêmios, uma loteria administrada pela loteria do estado do Rio de Janeiro, e por uma página da Google Play Store para um suposto aplicativo de proteção de cartões.
O site falso de loteria tenta convencer o usuário a clicar em um botão para enviar uma mensagem pelo WhatsApp e reivindicar o prêmio, momento em que ele é direcionado a baixar uma versão infectada do aplicativo HandyPay. Independentemente do método utilizado, o aplicativo solicita ser definido como o aplicativo de pagamento padrão após a instalação.
Em seguida, a vítima é solicitada a inserir o PIN do cartão de pagamento no aplicativo e encostar o cartão na parte traseira do smartphone com NFC. Assim que essa etapa é realizada, o malware utiliza o HandyPay para capturar e transmitir os dados do cartão NFC para um dispositivo controlado pelo invasor, permitindo que ele use as informações roubadas para fazer saques em caixas eletrônicos.
Acredita-se que a campanha ativa tenha começado por volta de novembro de 2025. A versão maliciosa do HandyPay nunca foi disponibilizada na Google Play Store, o que significa que os atacantes estão usando os métodos mencionados como mecanismos de distribuição para enganar usuários desavisados e levá-los a baixá-la. O HandyPay já iniciou uma investigação interna sobre o assunto.
A ESET observou que os preços de assinatura mais baixos do HandyPay podem ter levado os operadores da campanha a optarem por essa solução, em vez de manterem as soluções prontas para uso existentes, que custam mais de US$ 400 por mês. “Além do preço, o HandyPay não exige nenhuma permissão nativamente, apenas que seja definido como o aplicativo de pagamento padrão, o que ajuda os agentes maliciosos a evitarem levantar suspeitas”, destacou a empresa.
Uma análise do artefato revelou a presença de emojis em mensagens de depuração e notificações, destacando o possível uso de um modelo de linguagem de grande porte (LLM, na sigla em inglês) para gerar ou modificar o código-fonte. Embora a comprovação definitiva ainda seja difícil, esse desenvolvimento está alinhado a uma tendência mais ampla de cibercriminosos que se apropriam da inteligência artificial (IA) generativa para produzir malware mesmo com pouca ou nenhuma experiência técnica.
“Com o surgimento de mais uma campanha do NGate, fica evidente que a fraude por NFC está em ascensão”, afirmou a ESET. “Desta vez, em vez de usar uma solução consolidada como o NFCGate ou um serviço de MaaS (Mobile at a Service), os criminosos virtuais optaram por infectar o HandyPay, um aplicativo com funcionalidade de retransmissão NFC já existente.”
