Säkerhetsforskare vid ESET har upptäckt en ny variant av NGate, en Android-malware som stjäl betalkortsdata via telefonens NFC-chip. Den här gången gömmer sig skadlig kod i en trojaniserad version av HandyPay, en legitim betalapp, vilket gör den svårare att upptäcka än tidigare varianter.

Så fungerar attacken

NGate sprids via två metoder: en falsk app vid namn "Proteção Cartão" (kortskydd) som distribueras genom en fejkad Google Play-sida, samt en falsk lotterisajt som leder offret till WhatsApp och sedan till en APK-nedladdning. Båda vägarna leder till samma resultat.

Efter installation ber appen användaren att göra den till standardapp för NFC-betalningar. Sedan begär den PIN-kod och uppmanar användaren att hålla sitt betalkort mot telefonen. All data, inklusive kortuppgifter och PIN, skickas direkt till angriparen via en hårdkodad e-postadress. Med den stulna informationen skapar angriparen virtuella kort som används för obehöriga köp eller kontantuttag från NFC-stödda bankomater.

Varför HandyPay?

Tidigare versioner av NGate använde NFCGate, ett verktyg med öppen källkod. Nu har hotaktörerna bytt till HandyPay av en enkel anledning: kostnaden. HandyPay kostar bara 9,99 euro per månad, jämfört med 400 till 500 dollar per månad för alternativ som NFU Pay och TX-NFC. Dessutom kräver HandyPay inga speciella behörigheter utöver att bli standardbetalapp, vilket minskar risken att väcka misstankar hos användaren.

AI sänker tröskeln

En intressant detalj är att koden innehåller emojis, något som enligt ESET kan tyda på att generativ AI har använts under utvecklingen. Det är ytterligare ett tecken på att AI-verktyg sänker tröskeln för cyberbrottslingar att skapa sofistikerad malware.

Kampanjen har varit aktiv sedan november 2025 och riktar sig i dagsläget främst mot Android-användare i Brasilien. Men metoden, att utnyttja NFC-betalningar som attackvektor, är inte begränsad till en specifik marknad. Den kan enkelt anpassas och spridas globalt.

Google Play Protect blockerar

Den goda nyheten är att Google Play Protect nu upptäcker och blockerar den senaste NGate-varianten. Men skyddet gäller bara om appen laddas ner via officiella kanaler, inte om användaren installerar en APK-fil manuellt.

Så skyddar du dig

Ladda aldrig ner APK-filer utanför Google Play. Inaktivera NFC på din telefon när du inte aktivt använder det för betalningar. Ge aldrig en okänd app status som standardbetalapp. Ange aldrig din PIN-kod i tredjepartsappar som du inte fullt ut litar på. Om en app ber dig hålla ditt betalkort mot telefonen i ett oväntat sammanhang, avbryt omedelbart.

NFC-betalningar är bekväma, men den bekvämligheten utnyttjas nu aktivt av hotaktörer. Håll koll på vilka appar som har åtkomst till din telefons NFC-chip och var skeptisk mot appar som begär att bli standardbetalapp.