Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Trojan NGate su HandyPay: rubano NFC e PIN per svuotarti la carta con pagamenti e prelievi contactless
Una nuova campagna malware Android legata alla famiglia NGate sta colpendo principalmente il Brasile e sfrutta una tecnica particolarmente insidiosa: la trojanizzazione di HandyPay, una app legittima pensata per il relay dei dati NFC.
Invece di appoggiarsi a soluzioni note come NFCGate, gli attaccanti hanno preso HandyPay e vi hanno inserito codice malevolo, con indizi che suggeriscono anche un possibile uso di strumenti di generazione automatica del codice.
Il risultato è un malware capace di rubare dati NFC delle carte di pagamento e il PIN della vittima, abilitando frodi come prelievi contactless agli sportelli ATM e pagamenti non autorizzati.
La distribuzione avviene tramite siti web e pagine che imitano servizi affidabili.
- Falso portale “lotteria”: un sito costruito per convincere l’utente a inviare un messaggio WhatsApp per riscattare un premio; da lì la vittima viene guidata al download della versione infetta dell’app.
- Finta scheda Google Play: una pagina che simula l’aspetto di una scheda di Google Play per una presunta app di protezione della carta, aumentando la credibilità del contenuto e la probabilità di installazione fuori dallo store ufficiale.
Dopo l’installazione, la app malevola chiede di essere impostata come app di pagamento predefinita. Questo passaggio è cruciale per la truffa, perché HandyPay di base non richiede permessi invasivi e quindi può sembrare innocua.
La vittima viene poi invitata a inserire il PIN della carta nell’app e ad appoggiare la carta sul retro dello smartphone con NFC.
In quel momento il malware intercetta e inoltra i dati NFC a un dispositivo controllato dagli attaccanti, che possono emulare la carta per operazioni fraudolente. In parallelo, il PIN viene esfiltrato verso un server di comando e controllo, completando il quadro per l’abuso finanziario.
La campagna risulterebbe attiva almeno da novembre 2025 e la versione infetta non sarebbe stata pubblicata su Google Play, segnale che la catena di infezione punta su social engineering e installazioni da fonti esterne. HandyPay avrebbe avviato una indagine interna sull’accaduto.