Исследователи ESET обнаружили новый вариант семейства вредоносных программ NGate, который использует легитимное приложение для Android под названием HandyPay вместо ранее использовавшегося инструмента NFCGate. Злоумышленники взяли приложение, которое используется для передачи данных NFC, и внедрили в него вредоносный код, который, по всей видимости, был сгенерирован искусственным интеллектом. Как и в случае с предыдущими версиями NGate, вредоносный код позволяет злоумышленникам переносить данные NFC с платежной карты жертвы на свое собственное устройство и использовать их для бесконтактного снятия наличных в банкоматах и несанкционированных платежей. Кроме того, код также может перехватить PIN-код платежной карты жертвы и передать его на командно-контрольный сервер злоумышленников.

Ключевые моменты этой статьи:
  • Исследователи ESET обнаружили новый вариант вредоносного ПО NGate, злоупотребляющий легитимным приложением HandyPay для Android.
  • Для троянизации HandyPay злоумышленники, скорее всего, использовали GenAI, на что указывают оставленные в логах эмодзи, типичные для текста, сгенерированного ИИ.
  • Кампания ведется с ноября 2025 года и нацелена на пользователей Android в Бразилии.
  • Помимо передачи данных NFC, вредоносный код также похищает PIN-коды платежных карт.
  • Мы обнаружили два образца NGate, распространяемых в ходе атак: один через поддельный сайт лотереи, другой — через поддельный сайт Google Play. Оба сайта размещались на одном домене, что явно указывает на одного злоумышленника.

Атаки нацелены на пользователей в Бразилии, причем троянское приложение распространяется в основном через веб-сайт, выдающий себя за бразильскую лотерею Rio de Prêmios, а также через поддельную страницу в Google Play, посвященную якобы приложению для защиты карт. Это не первая кампания NGate, нацеленная на Бразилию: как мы описали в нашем отчете об угрозах за второе полугодие 2025 года, атаки на основе NFC распространяются на новые регионы (см. рис. 1), при этом используются более изощренные тактики и методы, причем Бразилия, в частности, становится мишенью для варианта NGate под названием PhantomCard. Злоумышленники экспериментируют с новыми подходами социальной инженерии и все чаще сочетают злоупотребление NFC с возможностями банковских троянов.

Figure 1. Geographical distribution of NGate attacks from January 2025 to February 2026
Рисунок 1. Географическое распределение атак NGate с января 2025 года по февраль 2026 года

Мы полагаем, что кампания по распространению троянского HandyPay началась примерно в ноябре 2025 года и остается активной на момент написания этого поста в блоге. Следует также отметить, что вредоносно модифицированная версия HandyPay никогда не была доступна в официальном магазине Google Play. Как партнер App Defense Alliance, мы поделились нашими выводами с Google. Пользователи Android автоматически защищены от известных версий этого вредоносного ПО благодаря Google Play Protect, который включен по умолчанию на устройствах Android с сервисами Google Play.

Мы также связались с разработчиком HandyPay, чтобы предупредить их о злонамеренном использовании их приложения. После установления связи они подтвердили, что проводят внутреннее расследование со своей стороны.

Злоупотребление HandyPay

По мере роста числа угроз, связанных с NFC, экосистема, поддерживающая их, становится все более мощной. В первых атаках NGate использовался инструмент с открытым исходным кодом NFCGate для облегчения передачи данных NFC. С тех пор появилось несколько предложений «вредоносного ПО как услуги» (MaaS) с аналогичной функциональностью, таких как NFU Pay и TX‑NFC. Эти наборы активно продвигаются среди партнеров в Telegram (одна из таких реклам представлена на рисунке 2). Например, в вышеупомянутых атаках PhantomCard, которые также были направлены на Бразилию, для облегчения передачи данных использовался NFU Pay. Однако в случае кампании, описанной в этом блоге, злоумышленники решили воспользоваться собственным решением и злонамеренно модифицировали существующее приложение — HandyPay.

Figure 2. NFU Pay MaaS advertised on a Telegram channel
Рисунок 2. Реклама NFU Pay MaaS в канале Telegram

HandyPay (официальный сайт) — это приложение для Android, доступное в Google Play с 2021 года. Оно позволяет передавать данные NFC с одного устройства на другое, что можно использовать для совместного использования карты с членом семьи, разрешения ребенку совершить разовую покупку и т. д. Данные сначала считываются на устройстве владельца карты, а затем передаются на связанное устройство. После того как пользователи связывают свои учетные записи по электронной почте, владелец карты сканирует свою платежную карту через NFC, после чего зашифрованные данные передаются через Интернет на сопряженное устройство. Затем это устройство может выполнять действия «tap-to-pay» с использованием карты оригинального владельца. Чтобы процесс работал, пользователям необходимо установить HandyPay в качестве приложения для оплаты по умолчанию и войти в систему с помощью Google или токена на основе электронной почты.

Согласно сайту разработчика, приложение включает в себя некоторую степень монетизации (см. рис. 3): использование приложения в качестве считывателя бесплатно («Гостевой доступ»), но для эмуляции карты на сопряженном устройстве («Пользовательский доступ») якобы требуется подписка за 9,99 евро в месяц. Сайт, однако, представляет эту плату как пожертвование, и об оплате не упоминается на официальной странице в магазине Google Play.

Figure 3. HandyPay monetization information from the official website
Рисунок 3. Информация о монетизации HandyPay с официального сайта

Почему операторы этой кампании решили троянизировать приложение HandyPay вместо того, чтобы воспользоваться готовым решением для ретрансляции данных NFC? Ответ прост: деньги. Плата за подписку на существующие наборы MaaS исчисляется сотнями долларов: NFU Pay рекламирует свой продукт по цене почти 400 долларов США в месяц, а TX-NFC — около 500 долларов США в месяц. HandyPay, с другой стороны, значительно дешевле: оно просит лишь пожертвование в размере 9,99 евро в месяц, если даже это. Помимо цены, HandyPay изначально не требует никаких разрешений, а лишь того, чтобы его сделали приложением для оплаты по умолчанию, что помогает злоумышленникам избежать подозрений.

Как мы уже упомянули во введении, вредоносный код, использованный для троянизации HandyPay, демонстрирует признаки создания с помощью инструментов GenAI. В частности, в журналах вредоносного ПО содержатся эмодзи, типичные для текста, сгенерированного ИИ (см. фрагмент кода на рисунке 4), что позволяет предположить, что в создании или модификации кода участвовали LLM, хотя окончательных доказательств этого пока нет. Это соответствует более широкой тенденции, при которой GenAI снижает барьер для входа в сферу киберпреступности, позволяя злоумышленникам с ограниченными техническими навыками создавать работоспособное вредоносное ПО.

Figure 4. Malicious code snippet, most probably generated by AI
Рисунок 4. Фрагмент вредоносного кода, скорее всего сгенерированного ИИ, отвечающий за перехват PIN-кода платежной карты и отправку его на C&C-сервер

Анализ кампании

Целевая аудитория

Судя по векторам распространения и языковой версии троянского приложения, кампания нацелена на пользователей Android в Бразилии. При анализе C&C-сервера злоумышленников мы также обнаружили журналы с четырьмя скомпрометированными устройствами, все из которых были геолоцированы в Бразилии. Данные содержали перехваченные PIN-коды, IP-адреса и временные метки, связанные с атаками.

Первоначальный доступ

В рамках кампании мы обнаружили два образца NGate. Хотя они распространяются отдельно, они размещены на одном домене и используют одно и то же приложение HandyPay, что указывает на скоординированную операцию, проводимую одними и теми же злоумышленниками. Схема распространения обоих образцов показана на рисунке 5.

Figure 5. Campaign distribution flow
Рисунок 5. Схема распространения кампании

Первый образец NGate распространяется через веб-сайт, который выдаёт себя за Rio de Prêmios — лотерею, проводимую государственной лотерейной организацией штата Рио-де-Жанейро (Loterj). На сайте представлена игра со скретч-карточками, в которой пользователь должен раскрыть три совпадающих символа, причём результат подстроен так, что пользователь всегда «выигрывает» 20 000 реалов (см. рис. 6). Чтобы получить приз, пользователю предлагается нажать кнопку, которая открывает подлинное приложение WhatsApp с заранее заполненным сообщением, адресованным заранее заданному номеру WhatsApp, как показано на рисунке 7. Для повышения доверия связанная учетная запись WhatsApp использует аватар, имитирующий Caixa Econômica Federal — государственный банк Бразилии, управляющий большинством лотерей в стране.

Figure 6. Scratching symbols always results in winning R$20,000
Рисунок 6. Стирание символов всегда приводит к выигрышу 20 000 реалов (слева), при этом жертве предлагается запустить WhatsApp с помощью кнопки «Получить мой приз сейчас» (машинный перевод), чтобы получить свой приз (справа)
Figure 7. Draft message with option to send to a preselected WhatsApp contact
Рисунок 7. Черновик сообщения с возможностью отправки заранее выбранному контакту в WhatsApp

Вероятно, именно отсюда жертва перенаправляется в подправленное приложение HandyPay, маскирующееся под приложение Rio de Prêmios, которое размещено на том же сервере, что и поддельный сайт лотереи. Во время тестирования мы не получили ответа с учетной записи WhatsApp злоумышленника, но мы связываем это с тем, что не использовали бразильский номер телефона.

Второй образец NGate распространяется через поддельный веб-сайт Google Play в виде приложения под названием Proteção Cartão (машинный перевод: «Защита карты»). Скриншоты на рисунке 8 показывают, что жертвам приходится вручную загружать и устанавливать приложение, в результате чего их устройства заражаются троянизированным HandyPay. Мы видели вредоносные приложения с похожими названиями, использовавшиеся в октябре 2025 года в кампании, нацеленной на Бразилию, в которой применялся вариант NGate под названием PhantomCard.

Figure 8. Users have to manually download and install the malicious Proteção Cartão app
Рисунок 8. Пользователи должны вручную загрузить и установить вредоносное приложение Proteção Cartão

Алгоритм работы

Обзор алгоритма работы троянского приложения HandyPay показан на рисунке 9.

Figure 9. Trojanized HandyPay operational flow
Рисунок 9. Схема работы троянского приложения HandyPay

Сначала жертве необходимо вручную установить троянную версию HandyPay, поскольку приложение доступно только за пределами Google Play. Когда пользователь нажимает кнопку загрузки приложения в браузере, Android автоматически блокирует установку и отображает запрос с просьбой разрешить установку из этого источника. Пользователю достаточно нажать «Настройки» в этом окне, включить «Разрешить из этого источника», вернуться на экран загрузки и продолжить установку приложения. После установки приложение запрашивает право быть установленным в качестве приложения для оплаты по умолчанию, что видно на рисунке 10. Эта функция не является вредоносной, так как она является частью официального приложения HandyPay. Фактическое вредоносное ПО, внедренное в код, не требует, чтобы эта настройка была включена на телефоне жертвы для ретрансляции данных NFC; только устройство, получающее данные, т. е. устройство оператора, нуждается в включении этой настройки. Никаких дополнительных разрешений не требуется (см. рис. 11), что помогает вредоносному приложению оставаться незамеченным.

Figure 10. Initial request to set the app as the default NFC payment app
Рисунок 10. Первоначальный запрос на установку приложения в качестве приложения по умолчанию для NFC-платежей
Figure 11. HandyPay doesn’t require any permissions
Рисунок 11. HandyPay не требует никаких разрешений

Затем жертве предлагается ввести PIN-код своей платежной карты в приложение и прикоснуться картой к задней панели смартфона с включенной функцией NFC. Вредоносное ПО злоупотребляет сервисом HandyPay для пересылки данных NFC-карты на устройство, контролируемое злоумышленником, что позволяет ему использовать данные платежной карты жертвы для снятия наличных в банкоматах. Устройство оператора привязано к адресу электронной почты, жестко запрограммированному в вредоносном приложении, что гарантирует, что весь перехваченный трафик NFC направляется исключительно злоумышленнику. В проанализированных образцах мы обнаружили использование двух разных адресов электронной почты злоумышленников. Помимо стандартного набора данных, передаваемых через NFC-ретранслятор, PIN-код платежной карты жертвы выводится отдельно на специальный C&C-сервер по протоколу HTTP (см. рис. 12), не используя инфраструктуру HandyPay. C&C-конечная точка для сбора PIN-кодов также функционирует как сервер распространения, централизуя как операции доставки, так и сбора данных.

Figure 12. Example of PIN exfiltration to the C&C server over HTTP
Рисунок 12. Пример передачи PIN-кода на C&C-сервер по протоколу HTTP

Заключение

С появлением на сцене еще одной кампании NGate становится очевидным, что мошенничество с использованием NFC набирает обороты. На этот раз вместо использования готовых решений, таких как NFCGate или предлагаемых MaaS, злоумышленники решили троянизировать HandyPay — приложение с уже имеющейся функциональностью NFC-ретрансляции. Высокая вероятность того, что для создания вредоносного кода использовался GenAI, демонстрирует, как киберпреступники могут наносить ущерб, злоупотребляя LLM, даже не обладая техническими знаниями.

По любым вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.
ESET Research предлагает частные отчеты по APT-угрозам и информационные ленты. По любым вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.

IoC

Полный список индикаторов компрометации (IoC) и образцов можно найти внашем репозитории GitHub

Файлы

SHA-1 Имя файла Обнаружение Описание
48A0DE6A43FC6E49318AD6873EA63FE325200DBC PROTECAO_CARTAO.apk Android/Spy.NGate.CC Вредоносное ПО Android NGate.
A4F793539480677241EF312150E9C02E324C0AA2 PROTECAO_CARTAO.apk Android/Spy.NGate.CB Вредоносное ПО NGate для Android.
94AF94CA818697E1D99123F69965B11EAD9F010C Rio_de_Prêmios_Pagamento.apk Android/Spy.NGate.CB Вредоносное ПО Android NGate.

Сеть

IP Домен Хостинг-провайдер Впервые обнаружено Подробности
104.21.91[.]170 protecaocartao[.]online Cloudflare, Inc. 08.11.2025 Веб-сайт дистрибьютора NGate.
108.165.230[.]223 Н/Д КАУА РЕЙС ДА СИЛЬВА
торгующий под названием BattleHost		 09.11.2025 C&C-сервер NGate.

Техники MITRE ATT&CK

Эта таблица была составлена с использованием версии 18 фреймворка MITRE ATT&CK.

Тактика ID Название Описание
Первоначальный доступ T1660 Фишинг NGate распространяется через специальные веб-сайты.
Доступ к учетным данным T1417.002 Перехват ввода: перехват ввода из графического интерфейса NGate пытается получить PIN-коды жертв через поддельное текстовое поле.
Экфильтрация T1646 Передача данных через канал C2 NGate перехватывает PIN-коды жертв через HTTP.

Читать полный анализ на WeLiveSecurity →