🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova variante do malware NGate que rouba dados de pagamento NFC tem como alvo os usuários do Android, escondendo-se em uma versão trojanizada do HandyPay, uma ferramenta legítima de processamento de pagamentos móveis.
O NGate foi originalmente documentado em meados de 2024 e rouba informações de cartões de pagamento por meio do chip de comunicação de campo próximo (NFC) do dispositivo móvel.
Os dados são enviados ao invasor, que cria cartões virtuais utilizados para compras não autorizadas ou retirada de dinheiro em caixas eletrônicos com suporte NFC.
Nas versões anteriores, o malware usava uma ferramenta de código aberto chamada NFCGate para capturar, retransmitir e reproduzir as informações do cartão de pagamento.
Uma nova pesquisa da ESET detalha uma nova variante que usa uma versão do aplicativo HandyPay, que foi injetado com código malicioso para facilitar operações de roubo de dados.
Os pesquisadores descobriram que o código do novo malware NGate contém emojis, o que pode indicar o uso de uma ferramenta generativa de IA para desenvolvimento.
Snippet de código maliciosoFonte: ESET
O HandyPay está disponível no Google Play desde 2021 e oferece suporte a transmissões de dados baseadas em NFC entre dispositivos, um recurso que o NGate abusa para exfiltrar as informações do cartão.
A ESET acredita que a razão por trás da mudança do NFCGate para o HandyPay é provavelmente financeira, mas a evasão também desempenha um papel fundamental. Os investigadores sublinham o elevado custo das ferramentas de retransmissão NFC, como NFU Pay e TX-NFC, e o facto de estas serem “ruidosas” em dispositivos infectados.
"O NFU Pay anuncia seu produto por quase US$ 400 por mês, enquanto o TX-NFC sai por cerca de US$ 500 por mês. O HandyPay, por outro lado, é significativamente mais barato, pedindo apenas a doação de € 9,99 por mês, se é que isso acontece", explica a ESET.
“Além do preço, o HandyPay nativamente não requer nenhuma permissão, apenas para se tornar o aplicativo de pagamento padrão, ajudando os atores da ameaça a evitar levantar suspeitas.”
Em termos de segmentação, a ESET informa que a campanha que utiliza esta última variante está ativa desde novembro de 2025, visando principalmente dispositivos Android no Brasil.
A campanha conta com dois métodos de distribuição. Um deles induz os usuários a baixar um aplicativo falso chamado “Proteção Cartão”, que promete recursos de proteção de cartão e está hospedado em uma página falsa do Google Play.
O segundo usa um site de loteria falso onde os visitantes “ganham um prêmio” e são redirecionados ao WhatsApp para reivindicá-lo, o que eventualmente leva ao download do APK malicioso.
Métodos de distribuição de malwareFonte: ESET
Após a instalação, o aplicativo solicita que os usuários o configurem como o aplicativo de pagamento NFC padrão, solicita o PIN do cartão e pede que toquem no cartão no telefone para leitura.
Todas as informações coletadas dessa forma são entregues ao endereço de e-mail do invasor, que está codificado no aplicativo.
Fluxo de roubo de dadosFonte: ESET
Os usuários do Android são aconselhados a nunca baixar APKs de fora do Google Play, a menos que confiem explicitamente no editor, desativem o NFC se não for necessário e verifiquem ameaças com o Play Protect, que detecta e bloqueia a variante de malware NGate mais recente.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
O NGate foi originalmente documentado em meados de 2024 e rouba informações de cartões de pagamento por meio do chip de comunicação de campo próximo (NFC) do dispositivo móvel.
Os dados são enviados ao invasor, que cria cartões virtuais utilizados para compras não autorizadas ou retirada de dinheiro em caixas eletrônicos com suporte NFC.
Nas versões anteriores, o malware usava uma ferramenta de código aberto chamada NFCGate para capturar, retransmitir e reproduzir as informações do cartão de pagamento.
Uma nova pesquisa da ESET detalha uma nova variante que usa uma versão do aplicativo HandyPay, que foi injetado com código malicioso para facilitar operações de roubo de dados.
Os pesquisadores descobriram que o código do novo malware NGate contém emojis, o que pode indicar o uso de uma ferramenta generativa de IA para desenvolvimento.
Snippet de código maliciosoFonte: ESET
O HandyPay está disponível no Google Play desde 2021 e oferece suporte a transmissões de dados baseadas em NFC entre dispositivos, um recurso que o NGate abusa para exfiltrar as informações do cartão.
A ESET acredita que a razão por trás da mudança do NFCGate para o HandyPay é provavelmente financeira, mas a evasão também desempenha um papel fundamental. Os investigadores sublinham o elevado custo das ferramentas de retransmissão NFC, como NFU Pay e TX-NFC, e o facto de estas serem “ruidosas” em dispositivos infectados.
"O NFU Pay anuncia seu produto por quase US$ 400 por mês, enquanto o TX-NFC sai por cerca de US$ 500 por mês. O HandyPay, por outro lado, é significativamente mais barato, pedindo apenas a doação de € 9,99 por mês, se é que isso acontece", explica a ESET.
“Além do preço, o HandyPay nativamente não requer nenhuma permissão, apenas para se tornar o aplicativo de pagamento padrão, ajudando os atores da ameaça a evitar levantar suspeitas.”
Em termos de segmentação, a ESET informa que a campanha que utiliza esta última variante está ativa desde novembro de 2025, visando principalmente dispositivos Android no Brasil.
A campanha conta com dois métodos de distribuição. Um deles induz os usuários a baixar um aplicativo falso chamado “Proteção Cartão”, que promete recursos de proteção de cartão e está hospedado em uma página falsa do Google Play.
O segundo usa um site de loteria falso onde os visitantes “ganham um prêmio” e são redirecionados ao WhatsApp para reivindicá-lo, o que eventualmente leva ao download do APK malicioso.
Métodos de distribuição de malwareFonte: ESET
Após a instalação, o aplicativo solicita que os usuários o configurem como o aplicativo de pagamento NFC padrão, solicita o PIN do cartão e pede que toquem no cartão no telefone para leitura.
Todas as informações coletadas dessa forma são entregues ao endereço de e-mail do invasor, que está codificado no aplicativo.
Fluxo de roubo de dadosFonte: ESET
Os usuários do Android são aconselhados a nunca baixar APKs de fora do Google Play, a menos que confiem explicitamente no editor, desativem o NFC se não for necessário e verifiquem ameaças com o Play Protect, que detecta e bloqueia a variante de malware NGate mais recente.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #o #malware #ngate #android #usa #o #aplicativo #handypay #nfc #para #roubar #dados #do #cartão
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário