21.04.2026
1 хв
171
Нова хвиля Android-шкідника NGate націлена на користувачів у Бразилії, дозволяючи викрадати дані банківських карт і PIN-коди для подальших фінансових операцій.
Дослідники з кібербезпеки зафіксували нову хвилю атак із використанням Android-шкідника NGate. Цього разу зловмисники змінили підхід і замість звичного інструмента NFCGate почали використовувати легітимний застосунок HandyPay, в який вбудували шкідливий код.
За даними ESET, атакувальники фактично взяли робочий додаток для передачі NFC-даних і модифікували його. Усередині з’явився код, який, ймовірно, був створений або доопрацьований за допомогою штучного інтелекту. У результаті програма зберегла свою основну функціональність, але отримала можливість виконувати приховані дії.
Як і в попередніх кампаніях, NGate дозволяє перехоплювати дані платіжних карт через NFC. Далі ці дані передаються на інший пристрій, контрольований зловмисником. Це відкриває можливість робити безконтактні платежі або навіть знімати готівку в банкоматах без відома власника картки.
Окрім цього, шкідливе навантаження здатне зчитувати PIN-код. Він одразу відправляється на сервер керування, що фактично дає повний доступ до грошей жертви.
Сам NGate не новий. Його вперше описали ще у серпні 2024 року, коли стало відомо про можливість так званих NFC-ретрансляційних атак. Трохи пізніше ThreatFabric зафіксувала іншу кампанію під назвою RatOn, де для розповсюдження шкідника використовували підроблені додатки, замасковані під “дорослі” версії TikTok.
Нова хвиля атак має чіткий фокус – Бразилія. Це перший випадок, коли кампанія NGate масово націлена саме на користувачів цієї країни.
Схема зараження побудована на соціальній інженерії. Користувачів заманюють на підроблені сайти, які виглядають як сторінки популярної лотереї Rio de Prêmios. Там пропонують “отримати виграш” і просять натиснути кнопку, що веде до WhatsApp. Після цього жертві пропонують встановити додаток, який нібито потрібен для отримання коштів.
Інший варіант – сторінка, яка виглядає як Google Play, де застосунок подається як інструмент для “захисту картки”. У будь-якому випадку користувач отримує троянізовану версію HandyPay.
Після встановлення програма просить зробити її платіжним застосунком за замовчуванням. Далі все виглядає як звичайна процедура:
ввести PIN-код картки
прикласти картку до смартфона
Саме в цей момент і відбувається перехоплення NFC-даних, які одразу передаються атакувальникам.
Важливий момент – цей застосунок ніколи не з’являвся в офіційному магазині Google Play. Уся схема тримається на обмані користувачів і встановленні програм зі сторонніх джерел.
Кампанія, за оцінками дослідників, триває щонайменше з листопада 2025 року. У самій HandyPay вже заявили, що розпочали внутрішнє розслідування.
Окремо в ESET звернули увагу на цікаву деталь. У коді та повідомленнях додатка знайшли емодзі, що може вказувати на використання LLM-моделей під час розробки або модифікації шкідника. Прямих доказів поки немає, але це добре вписується в загальну тенденцію, коли кіберзлочинці все частіше використовують генеративний AI для створення malware.
Причина переходу на HandyPay також виглядає прагматичною. Підписка на цей сервіс дешевша, ніж інші готові рішення для атак, які можуть коштувати понад 400 доларів на місяць. До того ж застосунок не потребує спеціальних дозволів – достатньо лише зробити його платіжним за замовчуванням. Саме це дозволяє довше залишатися непоміченим.
У ESET підсумовують, що кількість атак із використанням NFC помітно зростає. І якщо раніше зловмисники покладалися на готові інструменти, то тепер усе частіше адаптують легітимні застосунки під свої потреби, перетворюючи їх на інструмент крадіжки грошей.
