I ricercatori di ESET hanno individuato una nuova variante del malware NGate che sfrutta l’app legittima HandyPay su Android. Diffusa dal novembre 2025, colpisce utenti in Brasile tramite siti falsi (lotterie e Google Play). Probabile uso di GenAI per infettare l’app e diffondere il trojan
ESET Research ha scoperto una nuova variante della famiglia di malware NGate che sfrutta un’applicazione Android legittima chiamata HandyPay, anziché lo strumento NFCGate utilizzato in precedenza. Gli autori dell’attacco hanno preso l’app, utilizzata per trasmettere dati NFC (Near Field Communication) e l’hanno modificata inserendo codice dannoso che sembra essere stato generato dall’AI. Come nelle precedenti varianti di NGate, il codice dannoso consente agli aggressori di trasferire i dati NFC dalla carta di pagamento della vittima al proprio dispositivo e di utilizzarli per prelievi contactless da sportelli ATM e pagamenti non autorizzati. Inoltre, il codice è in grado di acquisire i PIN delle carte di pagamento delle vittime e di inviarli al server di comando e controllo degli operatori. Gli obiettivi della minaccia sono gli utenti in Brasile ma gli attacchi basati su NFC si stanno espandendo in nuove regioni.
Il codice dannoso utilizzato per infettare HandyPay con un trojan sembra essere stato creato con l’ausilio di strumenti di AI generativa (GenAI). Nello specifico, i log del malware contengono un’emoji tipica dei testi generati dall’AI, il che suggerisce che i Modelli di Large Language predefiniti (LLM) siano stati coinvolti nella generazione o nella modifica del codice, sebbene non vi siano ancora prove definitive. Ciò rientra in una tendenza più ampia in cui la GenAI ridurrebbe le barriere all’ingresso per i cybercriminali, consentendo agli hacker con competenze tecniche limitate di produrre malware funzionante.
ESET Research ritiene che la campagna di distribuzione di HandyPay infettato dal trojan sia iniziata intorno a novembre 2025 e sia tuttora attiva. Va inoltre notato che la versione di HandyPay modificata in modo dannoso non è mai stata disponibile sul Google Play Store ufficiale. In qualità di partner dell’App Defense Alliance, ESET ha condiviso i propri risultati con Google. ESET ha inoltre contattato gli sviluppatori di HandyPay per avvisarli dell’uso dannoso della loro applicazione.
L’aumento delle minacce NFC ha portato a un consolidamento dell’ecosistema che le supporta. I primi attacchi NGate utilizzavano l’utility open source NFCGate per facilitare il trasferimento dei dati NFC. Da allora, sono state rese disponibili al pubblico diverse versioni di malware-as-a-service (MaaS) con funzionalità simili. Tuttavia, in questa campagna gli autori dell’attacco hanno deciso di optare per una soluzione propria, applicando una patch dannosa a un’app esistente, quella HandyPay.
«Perché gli autori di questa campagna hanno deciso di infettare l’app HandyPay con un trojan invece di utilizzare una soluzione consolidata per il trasferimento dei dati NFC? La risposta è semplice: il denaro. I costi di abbonamento per i kit MaaS esistenti ammontano a centinaia di dollari: NFU Pay pubblicizza il proprio prodotto a quasi 400 dollari al mese, mentre TX-NFC lo offre a circa 500 dollari al mese. D’altra parte, l’app HandyPay legittima è significativamente più economica, richiedendo una donazione di soli 9,99 € al mese, se non addirittura a meno. Oltre al prezzo, HandyPay“non richiede alcun permesso, se non quella di essere impostata come app di pagamento predefinita, aiutando così gli autori della minaccia a non destare sospetti”, afferma il ricercatore di ESET Lukáš Štefanko, che ha individuato la nuova variante di NGate nell’app di pagamento NFC infettata.
Il primo nuovo campione di NGate viene diffuso tramite un sito web che si presenta come Rio de Prêmios, una lotteria gestita dalla lotteria statale di Rio de Janeiro (Loterj). Il secondo campione di NGate viene diffuso tramite una pagina web fasulla di Google Play sotto forma di un’app denominata Proteção Cartão (Protezione Carta). Entrambi i siti web risiedevano sullo stesso dominio, il che suggerisce fortemente l’esistenza di un unico autore della minaccia. Il malware sfrutta il servizio HandyPay per inoltrare i dati delle carte NFC a un dispositivo controllato dall’autore dell’attacco. Oltre a trasmettere i dati NFC, il codice dannoso ruba anche i PIN delle carte di pagamento, consentendo all’autore dell’attacco di utilizzare i dati della carta di pagamento della vittima per prelevare contanti dagli sportelli automatici.
