NGate Androidマルウェアが HandyPay NFCアプリを使用してカードデータを盗む

NFCペイメントデータを盗むNGateマルウェアの新しい亜種が、正規のモバイル決済処理ツールであるHandyPayのトロイの木馬化されたバージョンに隠れて、Androidユーザーを標的にしています。

NGateは元々2024年半ばに記録されており、モバイルデバイスの近距離通信（NFC）チップを通じて支払いカード情報を盗みます。

データは攻撃者に送信され、攻撃者は不正購入またはNFC対応ATMからの現金引き出しに使用される仮想カードを作成します。

以前のバージョンでは、マルウェアはNFCGateというオープンソースツールを使用して、支払いカード情報をキャプチャ、中継、リプレイしていました。

ESETからの新しい研究は、データ盗難操作を促進するために悪意あるコードが注入されたHandyPayアプリのバージョンを使用する新しい亜種について詳しく説明しています。

研究者たちは、新しいNGateマルウェアのコードに絵文字が含まれていることを発見しました。これは開発に生成AIツールが使用されていることを示している可能性があります。

HandyPayは2021年以来Google Playで利用可能であり、デバイス間のNFCベースのデータ転送をサポートしており、NGateはカード情報を流出させるためにこの機能を悪用しています。

ESETは、NFCGateからHandyPayへの移行の理由は財政的である可能性が高いと考えていますが、回避も重要な役割を果たしています。研究者たちは、NFU PayやTX-NFCなどのNFC中継ツールの高いコストと、これらが感染したデバイス上で「ノイズが多い」という事実を強調しています。

「NFU Payはその製品をほぼ月額400米ドルで宣伝していますが、TX-NFCは月額約500米ドルです。一方、HandyPayは大幅に安く、月額9.99ユーロの寄付をお願いするだけです。」とESETは説明しています。

「価格に加えて、HandyPayは本来的に権限を必要とせず、デフォルトの支払いアプリとして設定されるだけで、脅威アクターが疑いを避けるのに役立ちます。」

標的に関しては、ESETは、この最新の亜種を使用したキャンペーンは2025年11月以降活動しており、主にブラジルのAndroidデバイスを標的にしていると報告しています。

キャンペーンは2つの配布方法に依存しています。1つは、ユーザーをカード保護機能を約束する「Proteção Cartão」という偽のアプリをダウンロードするように誘い、偽のGoogle Playページでホストされています。

2番目は、訪問者が「賞品に当たる」という偽のロトウェブサイトを使用し、WhatsAppにリダイレクトされて賞品を受け取り、最終的に悪意のあるAPKをダウンロードすることになります。

インストール後、アプリはユーザーにそれをデフォルトのNFC支払いアプリとして設定するよう促し、カードPINをリクエストし、電話上でカードをタップして読み取るよう求めます。

このように収集されたすべての情報は、アプリにハードコードされた攻撃者のメールアドレスに配信されます。

Androidユーザーは、発行者を明示的に信頼していない限りGoogle Play外からAPKをダウンロードしないこと、必要に応じてNFCを無効にすること、最新のNGateマルウェア亜種を検出してブロックするPlay Protectで脅威をスキャンすることをお勧めします。