Campanya maliciosa de NGate

Els analistes de ciberseguretat han identificat una nova variant de la família de programari maliciós per a Android coneguda com a NGate, que ara explota una aplicació legítima anomenada HandyPay en lloc de dependre d'NFCGate. Aquesta evolució destaca un canvi en l'estratègia dels atacants, que aprofita eines de confiança per millorar l'eficàcia i el sigil de les operacions malicioses.

Els atacants van modificar HandyPay, una aplicació dissenyada originalment per transmetre dades NFC, injectant codi maliciós. Els indicadors suggereixen que parts d'aquest codi es poden haver generat mitjançant intel·ligència artificial.

De manera similar a les variants anteriors de NGate, aquesta aplicació modificada permet als atacants interceptar i transferir dades NFC de la targeta de pagament d'una víctima a un dispositiu sota el seu control. Aquestes dades robades s'utilitzen posteriorment per a retirades de diners en caixers automàtics sense contacte i transaccions no autoritzades.

A més de la intercepció de dades, el programari maliciós és capaç de capturar el PIN de la targeta de pagament de la víctima i transmetre'l a un servidor remot de comandament i control (C2), cosa que augmenta significativament el risc de compromís financer.

De NFSkate a RatOn: el manual en expansió del programari maliciós

NGate, també conegut com a NFSkate, va aparèixer públicament per primera vegada a l'agost de 2024 quan els investigadors van documentar la seva capacitat per dur a terme atacs de retransmissió NFC destinats a recopilar dades de pagament sense contacte per a ús fraudulent. Amb el temps, els seus mecanismes de lliurament i les tàctiques operatives han evolucionat.

El 2025, una campanya relacionada identificada com a RatOn va introduir aplicacions de dropper disfressades de versions per a adults de TikTok. Aquestes aplicacions enganyoses es feien servir per desplegar NGate i executar atacs de retransmissió NFC, demostrant una sofisticació creixent de les tècniques d'enginyeria social.

Brasil en el punt de mira: sorgeix una campanya específica

La darrera campanya de NGate representa un canvi notable en la segmentació geogràfica, amb un enfocament principal en els usuaris del Brasil. Aquest és el primer cas conegut del programari maliciós adaptat específicament per a un públic sud-americà.

Els mètodes de distribució es basen en gran mesura en l'engany. Els atacants utilitzen llocs web falsos que suplanten la identitat de Rio de Prêmios, una loteria associada a l'organització de la loteria estatal de Rio de Janeiro, juntament amb pàgines fraudulentes de Google Play Store que promocionen una suposada aplicació de protecció de targetes. Aquests canals estan dissenyats per enganyar els usuaris perquè descarreguin una versió compromesa de HandyPay.

Cadena d’infecció: com es manipula les víctimes

La seqüència d'atac es basa en una enginyeria social acuradament orquestrada i en la interacció de l'usuari:

• Les víctimes són atretes a través d'un lloc web de loteria fals i se'ls demana que iniciïn un missatge de WhatsApp per reclamar els guanys.

• Els usuaris són redirigits per descarregar una versió troiana de HandyPay

• L'aplicació sol·licita que es defineixi com a aplicació de pagament predeterminada en el moment de la instal·lació.

• Es demana a les víctimes que introdueixin el PIN de la seva targeta de pagament i que la toquin al dispositiu.

• Les dades NFC es capturen i es transmeten en temps real a un dispositiu controlat per un atacant.

Un cop executats, els atacants aconsegueixen realitzar retirades de diners en caixers automàtics i transaccions de pagament no autoritzades utilitzant les credencials robades.

Furt i estratègia: per què es va triar HandyPay

La campanya, que es creu que va començar al voltant del novembre del 2025, demostra un canvi deliberat en les eines. La versió maliciosa de HandyPay mai s'ha distribuït a través de la botiga oficial de Google Play, cosa que confirma que els atacants es basen completament en tècniques de lliurament enganyoses.
Diversos factors probablement van influir en la decisió de convertir HandyPay en una arma. El seu cost de subscripció més baix en comparació amb altres solucions, que sovint supera els 400 dòlars al mes, la converteix en una opció econòmica per als actors d'amenaces. A més, l'aplicació no requereix permisos especials, només cal configurar-la com a aplicació de pagament predeterminada. Això redueix les sospites i augmenta la probabilitat d'una instal·lació correcta.

HandyPay ha iniciat una investigació interna en resposta a l'abús de la seva plataforma.

La IA en el desenvolupament de programari maliciós: una preocupació creixent

L'anàlisi tècnica del programari maliciós ha descobert elements inusuals, com ara la presència d'emojis dins dels missatges de depuració i del sistema. Aquesta anomalia suggereix la possible implicació de grans models de llenguatge en la generació o modificació del codi maliciós.

Tot i que l'atribució definitiva a la IA continua sense confirmar-se, les troballes s'alineen amb una tendència més àmplia de la indústria en què els ciberdelinqüents aprofiten cada cop més la intel·ligència artificial generativa per optimitzar el desenvolupament de programari maliciós. Això redueix la barrera d'entrada, permetent que les persones amb experiència tècnica limitada creïn amenaces sofisticades.

Panorama d’amenaces creixents: el frau NFC en alça

L'aparició d'aquesta nova variant de NGate subratlla una tendència creixent en el frau financer basat en NFC. En lloc de confiar en eines establertes com ara NFCGate o plataformes de programari maliciós com a servei, els atacants ara estan reutilitzant aplicacions legítimes amb funcionalitat NFC integrada.

Aquest enfocament millora tant l'eficiència operativa com les capacitats d'evasió, cosa que indica una evolució preocupant en les tàctiques d'amenaces mòbils i reforça la necessitat d'una major vigilància en la seguretat dels pagaments mòbils.