I ricercatori di ESET hanno svelato una variante della famiglia di malware NGate che sfrutta l’app legittima HandyPay su Android, anziché lo strumento NFCGate utilizzato in precedenza. Gli autori dell’attacco hanno preso l’app, utilizzata per trasmettere dati NFC (Near Field Communication) e l’hanno modificata inserendo codice dannoso che sembra essere stato generato dall’AI.
Il modus operandi della nuova variante del malware NGate
Come nelle precedenti varianti, il codice dannoso consente agli aggressori di trasferire i dati NFC dalla carta di pagamento della vittima al proprio dispositivo. Utilizzandoli quindi per prelievi contactless da sportelli ATM e pagamenti non autorizzati. Inoltre, il codice è in grado di acquisire i PIN delle carte di pagamento delle vittime e di inviarli al server di comando e controllo degli operatori. Gli obiettivi della minaccia sono gli utenti in Brasile ma gli attacchi basati su NFC si stanno espandendo in nuove regioni.
Il ruolo della GenAI
Il codice dannoso utilizzato per infettare HandyPay con un trojan sembra essere stato creato con l’ausilio di strumenti di AI generativa (GenAI). Nello specifico, i log del malware contengono un’emoji tipica dei testi generati dall’AI. Il che suggerisce che i Modelli di Large Language predefiniti (LLM) siano stati coinvolti nella generazione o nella modifica del codice, sebbene non vi siano ancora prove definitive. Ciò rientra in una tendenza più ampia in cui la GenAI ridurrebbe le barriere all’ingresso per i cybercriminali.
Consentendo agli hacker con competenze tecniche limitate di produrre malware funzionante. ESET Research ritiene che la campagna di distribuzione di HandyPay infettato dal trojan sia iniziata intorno a novembre 2025 e sia tuttora attiva. Va inoltre notato che la versione di HandyPay modificata in modo dannoso non è mai stata disponibile sul Google Play Store ufficiale. Come partner dell’App Defense Alliance, ESET ha condiviso i propri risultati con Google e contattato gli sviluppatori di HandyPay.
L’evoluzione del malware NGate
L’aumento delle minacce NFC ha portato a un consolidamento dell’ecosistema che le supporta. I primi attacchi NGate utilizzavano l’utility open source NFCGate per facilitare il trasferimento dei dati NFC. Da allora, sono state rese disponibili al pubblico diverse versioni di malware-as-a-service (MaaS) con funzionalità simili. Tuttavia, in questa campagna gli autori dell’attacco hanno deciso di optare per una soluzione propria, applicando una patch dannosa a un’app esistente, quella HandyPay.
Il perché della scelta dell’app HandyPay
Lukáš Štefanko, ricercatore ESET che ha individuato la nuova variante Perché gli autori di questa campagna hanno deciso di infettare l’app HandyPay con un trojan invece di utilizzare una soluzione consolidata per il trasferimento dei dati NFC? La risposta è semplice: il denaro. I costi di abbonamento per i kit MaaS esistenti ammontano a centinaia di dollari. NFU Pay pubblicizza il proprio prodotto a quasi 400 dollari al mese, mentre TX-NFC lo offre a circa 500 dollari al mese. D’altra parte, l’app HandyPay legittima è significativamente più economica, richiedendo una donazione di soli 9,99 € al mese, se non addirittura a meno. Oltre al prezzo, HandyPay non richiede alcun permesso, se non quella di essere impostata come app di pagamento predefinita, aiutando così gli autori della minaccia a non destare sospetti.
L’esistenza di un probabile unico autore della minaccia
Il primo nuovo campione di NGate viene diffuso tramite un sito web che si presenta come Rio de Prêmios, una lotteria gestita dalla lotteria statale di Rio de Janeiro (Loterj). Il secondo campione di NGate viene diffuso tramite una pagina web fasulla di Google Play sotto forma di un’app denominata Proteção Cartão (Protezione Carta). Entrambi i siti web risiedevano sullo stesso dominio, il che suggerisce fortemente l’esistenza di un unico autore della minaccia. Il malware sfrutta il servizio HandyPay per inoltrare i dati delle carte NFC a un dispositivo controllato dall’autore dell’attacco. Oltre a trasmettere i dati NFC, il codice dannoso ruba anche i PIN delle carte di pagamento. Questo consente all’autore dell’attacco di utilizzare i dati della carta di pagamento della vittima per prelevare contanti dagli sportelli automatici.
