Исследователи ESET обнаружили новый вариант семейства вредоносных программ NGate, который использует легитимное приложение для Android под названием HandyPay вместо ранее использовавшегося инструмента NFCGate. Злоумышленники взяли приложение, которое используется для передачи данных NFC, и внедрили в него вредоносный код, который, по всей видимости, был сгенерирован искусственным интеллектом. Как и в случае с предыдущими версиями NGate, вредоносный код позволяет злоумышленникам переносить данные NFC с платежной карты жертвы на свое собственное устройство и использовать их для бесконтактного снятия наличных в банкоматах и несанкционированных платежей. Кроме того, код также может перехватить PIN-код платежной карты жертвы и передать его на командно-контрольный сервер злоумышленников.
Ключевые моменты этой статьи:
- Исследователи ESET обнаружили новый вариант вредоносного ПО NGate, злоупотребляющий легитимным приложением HandyPay для Android.
- Для троянизации HandyPay злоумышленники, скорее всего, использовали GenAI, на что указывают оставленные в логах эмодзи, типичные для текста, сгенерированного ИИ.
- Кампания ведется с ноября 2025 года и нацелена на пользователей Android в Бразилии.
- Помимо передачи данных NFC, вредоносный код также похищает PIN-коды платежных карт.
- Мы обнаружили два образца NGate, распространяемых в ходе атак: один через поддельный сайт лотереи, другой — через поддельный сайт Google Play. Оба сайта размещались на одном домене, что явно указывает на одного злоумышленника.
Атаки нацелены на пользователей в Бразилии, причем троянское приложение распространяется в основном через веб-сайт, выдающий себя за бразильскую лотерею Rio de Prêmios, а также через поддельную страницу в Google Play, посвященную якобы приложению для защиты карт. Это не первая кампания NGate, нацеленная на Бразилию: как мы описали в нашем отчете об угрозах за второе полугодие 2025 года, атаки на основе NFC распространяются на новые регионы (см. рис. 1), при этом используются более изощренные тактики и методы, причем Бразилия, в частности, становится мишенью для варианта NGate под названием PhantomCard. Злоумышленники экспериментируют с новыми подходами социальной инженерии и все чаще сочетают злоупотребление NFC с возможностями банковских троянов.
Мы полагаем, что кампания по распространению троянского HandyPay началась примерно в ноябре 2025 года и остается активной на момент написания этого поста в блоге. Следует также отметить, что вредоносно модифицированная версия HandyPay никогда не была доступна в официальном магазине Google Play. Как партнер App Defense Alliance, мы поделились нашими выводами с Google. Пользователи Android автоматически защищены от известных версий этого вредоносного ПО благодаря Google Play Protect, который включен по умолчанию на устройствах Android с сервисами Google Play.
Мы также связались с разработчиком HandyPay, чтобы предупредить их о злонамеренном использовании их приложения. После установления связи они подтвердили, что проводят внутреннее расследование со своей стороны.
Злоупотребление HandyPay
По мере роста числа угроз, связанных с NFC, экосистема, поддерживающая их, становится все более мощной. В первых атаках NGate использовался инструмент с открытым исходным кодом NFCGate для облегчения передачи данных NFC. С тех пор появилось несколько предложений «вредоносного ПО как услуги» (MaaS) с аналогичной функциональностью, таких как NFU Pay и TX‑NFC. Эти наборы активно продвигаются среди партнеров в Telegram (одна из таких реклам представлена на рисунке 2). Например, в вышеупомянутых атаках PhantomCard, которые также были направлены на Бразилию, для облегчения передачи данных использовался NFU Pay. Однако в случае кампании, описанной в этом блоге, злоумышленники решили воспользоваться собственным решением и злонамеренно модифицировали существующее приложение — HandyPay.
HandyPay (официальный сайт) — это приложение для Android, доступное в Google Play с 2021 года. Оно позволяет передавать данные NFC с одного устройства на другое, что можно использовать для совместного использования карты с членом семьи, разрешения ребенку совершить разовую покупку и т. д. Данные сначала считываются на устройстве владельца карты, а затем передаются на связанное устройство. После того как пользователи связывают свои учетные записи по электронной почте, владелец карты сканирует свою платежную карту через NFC, после чего зашифрованные данные передаются через Интернет на сопряженное устройство. Затем это устройство может выполнять действия «tap-to-pay» с использованием карты оригинального владельца. Чтобы процесс работал, пользователям необходимо установить HandyPay в качестве приложения для оплаты по умолчанию и войти в систему с помощью Google или токена на основе электронной почты.
Согласно сайту разработчика, приложение включает в себя некоторую степень монетизации (см. рис. 3): использование приложения в качестве считывателя бесплатно («Гостевой доступ»), но для эмуляции карты на сопряженном устройстве («Пользовательский доступ») якобы требуется подписка за 9,99 евро в месяц. Сайт, однако, представляет эту плату как пожертвование, и об оплате не упоминается на официальной странице в магазине Google Play.
Почему операторы этой кампании решили троянизировать приложение HandyPay вместо того, чтобы воспользоваться готовым решением для ретрансляции данных NFC? Ответ прост: деньги. Плата за подписку на существующие наборы MaaS исчисляется сотнями долларов: NFU Pay рекламирует свой продукт по цене почти 400 долларов США в месяц, а TX-NFC — около 500 долларов США в месяц. HandyPay, с другой стороны, значительно дешевле: оно просит лишь пожертвование в размере 9,99 евро в месяц, если даже это. Помимо цены, HandyPay изначально не требует никаких разрешений, а лишь того, чтобы его сделали приложением для оплаты по умолчанию, что помогает злоумышленникам избежать подозрений.
Как мы уже упомянули во введении, вредоносный код, использованный для троянизации HandyPay, демонстрирует признаки создания с помощью инструментов GenAI. В частности, в журналах вредоносного ПО содержатся эмодзи, типичные для текста, сгенерированного ИИ (см. фрагмент кода на рисунке 4), что позволяет предположить, что в создании или модификации кода участвовали LLM, хотя окончательных доказательств этого пока нет. Это соответствует более широкой тенденции, при которой GenAI снижает барьер для входа в сферу киберпреступности, позволяя злоумышленникам с ограниченными техническими навыками создавать работоспособное вредоносное ПО.
Анализ кампании
Целевая аудитория
Судя по векторам распространения и языковой версии троянского приложения, кампания нацелена на пользователей Android в Бразилии. При анализе C&C-сервера злоумышленников мы также обнаружили журналы с четырьмя скомпрометированными устройствами, все из которых были геолоцированы в Бразилии. Данные содержали перехваченные PIN-коды, IP-адреса и временные метки, связанные с атаками.
Первоначальный доступ
В рамках кампании мы обнаружили два образца NGate. Хотя они распространяются отдельно, они размещены на одном домене и используют одно и то же приложение HandyPay, что указывает на скоординированную операцию, проводимую одними и теми же злоумышленниками. Схема распространения обоих образцов показана на рисунке 5.
Первый образец NGate распространяется через веб-сайт, который выдаёт себя за Rio de Prêmios — лотерею, проводимую государственной лотерейной организацией штата Рио-де-Жанейро (Loterj). На сайте представлена игра со скретч-карточками, в которой пользователь должен раскрыть три совпадающих символа, причём результат подстроен так, что пользователь всегда «выигрывает» 20 000 реалов (см. рис. 6). Чтобы получить приз, пользователю предлагается нажать кнопку, которая открывает подлинное приложение WhatsApp с заранее заполненным сообщением, адресованным заранее заданному номеру WhatsApp, как показано на рисунке 7. Для повышения доверия связанная учетная запись WhatsApp использует аватар, имитирующий Caixa Econômica Federal — государственный банк Бразилии, управляющий большинством лотерей в стране.
Вероятно, именно отсюда жертва перенаправляется в подправленное приложение HandyPay, маскирующееся под приложение Rio de Prêmios, которое размещено на том же сервере, что и поддельный сайт лотереи. Во время тестирования мы не получили ответа с учетной записи WhatsApp злоумышленника, но мы связываем это с тем, что не использовали бразильский номер телефона.
Второй образец NGate распространяется через поддельный веб-сайт Google Play в виде приложения под названием Proteção Cartão (машинный перевод: «Защита карты»). Скриншоты на рисунке 8 показывают, что жертвам приходится вручную загружать и устанавливать приложение, в результате чего их устройства заражаются троянизированным HandyPay. Мы видели вредоносные приложения с похожими названиями, использовавшиеся в октябре 2025 года в кампании, нацеленной на Бразилию, в которой применялся вариант NGate под названием PhantomCard.
Алгоритм работы
Обзор алгоритма работы троянского приложения HandyPay показан на рисунке 9.
Сначала жертве необходимо вручную установить троянную версию HandyPay, поскольку приложение доступно только за пределами Google Play. Когда пользователь нажимает кнопку загрузки приложения в браузере, Android автоматически блокирует установку и отображает запрос с просьбой разрешить установку из этого источника. Пользователю достаточно нажать «Настройки» в этом окне, включить «Разрешить из этого источника», вернуться на экран загрузки и продолжить установку приложения. После установки приложение запрашивает право быть установленным в качестве приложения для оплаты по умолчанию, что видно на рисунке 10. Эта функция не является вредоносной, так как она является частью официального приложения HandyPay. Фактическое вредоносное ПО, внедренное в код, не требует, чтобы эта настройка была включена на телефоне жертвы для ретрансляции данных NFC; только устройство, получающее данные, т. е. устройство оператора, нуждается в включении этой настройки. Никаких дополнительных разрешений не требуется (см. рис. 11), что помогает вредоносному приложению оставаться незамеченным.
Затем жертве предлагается ввести PIN-код своей платежной карты в приложение и прикоснуться картой к задней панели смартфона с включенной функцией NFC. Вредоносное ПО злоупотребляет сервисом HandyPay для пересылки данных NFC-карты на устройство, контролируемое злоумышленником, что позволяет ему использовать данные платежной карты жертвы для снятия наличных в банкоматах. Устройство оператора привязано к адресу электронной почты, жестко запрограммированному в вредоносном приложении, что гарантирует, что весь перехваченный трафик NFC направляется исключительно злоумышленнику. В проанализированных образцах мы обнаружили использование двух разных адресов электронной почты злоумышленников. Помимо стандартного набора данных, передаваемых через NFC-ретранслятор, PIN-код платежной карты жертвы выводится отдельно на специальный C&C-сервер по протоколу HTTP (см. рис. 12), не используя инфраструктуру HandyPay. C&C-конечная точка для сбора PIN-кодов также функционирует как сервер распространения, централизуя как операции доставки, так и сбора данных.
Заключение
С появлением на сцене еще одной кампании NGate становится очевидным, что мошенничество с использованием NFC набирает обороты. На этот раз вместо использования готовых решений, таких как NFCGate или предлагаемых MaaS, злоумышленники решили троянизировать HandyPay — приложение с уже имеющейся функциональностью NFC-ретрансляции. Высокая вероятность того, что для создания вредоносного кода использовался GenAI, демонстрирует, как киберпреступники могут наносить ущерб, злоупотребляя LLM, даже не обладая техническими знаниями.
По любым вопросам, касающимся наших исследований, опубликованных на WeLiveSecurity, обращайтесь к нам по адресу threatintel@eset.com.ESET Research предлагает частные отчеты по APT-угрозам и информационные ленты. По любым вопросам, касающимся этой услуги, посетите страницу ESET Threat Intelligence.
IoC
Полный список индикаторов компрометации (IoC) и образцов можно найти внашем репозитории GitHub
Файлы
| SHA-1 | Имя файла | Обнаружение | Описание |
| 48A0DE6A43FC6E49318A |
PROTECAO_CART |
Android/Spy.NGate.CC | Вредоносное ПО Android NGate. |
| A4F793539480677241EF |
PROTECAO_CART |
Android/Spy.NGate.CB | Вредоносное ПО NGate для Android. |
| 94AF94CA818697E1D991 |
Rio_de_Prêmios |
Android/Spy.NGate.CB | Вредоносное ПО Android NGate. |
Сеть
| IP | Домен | Хостинг-провайдер | Впервые обнаружено | Подробности |
| 104.21.91[.]170 | protecaocart |
Cloudflare, Inc. | 08.11.2025 | Веб-сайт дистрибьютора NGate. |
| 108.165.230[.]223 | Н/Д | КАУА РЕЙС ДА СИЛЬВА торгующий под названием BattleHost |
09.11.2025 | C&C-сервер NGate. |
Техники MITRE ATT&CK
Эта таблица была составлена с использованием версии 18 фреймворка MITRE ATT&CK.
| Тактика | ID | Название | Описание |
| Первоначальный доступ | T1660 | Фишинг | NGate распространяется через специальные веб-сайты. |
| Доступ к учетным данным | T1417.002 | Перехват ввода: перехват ввода из графического интерфейса | NGate пытается получить PIN-коды жертв через поддельное текстовое поле. |
| Экфильтрация | T1646 | Передача данных через канал C2 | NGate перехватывает PIN-коды жертв через HTTP. |
