Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Campanha Maliciosa NGate

Campanha Maliciosa NGate

Por Mezo em Malware móvel
Traduzir Para:

Analistas de cibersegurança identificaram uma nova variante da família de malware para Android conhecida como NGate, que agora explora um aplicativo legítimo chamado HandyPay em vez de depender do NFCGate. Essa evolução destaca uma mudança na estratégia dos atacantes, que passam a utilizar ferramentas confiáveis para aumentar a eficácia e o sigilo de suas operações maliciosas.

Os atacantes modificaram o HandyPay, um aplicativo originalmente desenvolvido para transmitir dados NFC, injetando código malicioso. Indícios sugerem que partes desse código podem ter sido geradas usando inteligência artificial.

Semelhante às variantes anteriores do NGate, este aplicativo modificado permite que invasores interceptem e transfiram dados NFC do cartão de pagamento da vítima para um dispositivo sob seu controle. Esses dados roubados são posteriormente usados para saques sem contato em caixas eletrônicos e transações não autorizadas.

Além da interceptação de dados, o malware é capaz de capturar o PIN do cartão de pagamento da vítima e transmiti-lo para um servidor remoto de Comando e Controle (C2), aumentando significativamente o risco de comprometimento financeiro.

De NFSKate a RatOn: o repertório cada vez maior de estratégias de malware.

O NGate, também conhecido como NFSkate, surgiu publicamente pela primeira vez em agosto de 2024, quando pesquisadores documentaram sua capacidade de realizar ataques de retransmissão NFC com o objetivo de coletar dados de pagamentos sem contato para uso fraudulento. Ao longo do tempo, seus mecanismos de entrega e táticas operacionais evoluíram.

Em 2025, uma campanha relacionada, identificada como RatOn, introduziu aplicativos falsos disfarçados de versões adultas do TikTok. Esses aplicativos enganosos foram usados para implantar o NGate e executar ataques de retransmissão NFC, demonstrando uma sofisticação crescente nas técnicas de engenharia social.

Brasil em foco: surge uma campanha direcionada.

A mais recente campanha da NGate representa uma mudança notável na segmentação geográfica, com foco principal em usuários no Brasil. Este é o primeiro caso conhecido em que o malware foi desenvolvido especificamente para um público sul-americano.

Os métodos de distribuição dependem muito do engano. Os atacantes utilizam sites falsos que se fazem passar pela Rio de Prêmios, uma loteria associada à loteria do estado do Rio de Janeiro, além de páginas fraudulentas na Google Play Store que promovem um suposto aplicativo de proteção de cartões. Esses canais são projetados para induzir os usuários a baixar uma versão comprometida do HandyPay.

Cadeia de Infecção: Como as Vítimas São Manipuladas

A sequência de ataque baseia-se em engenharia social cuidadosamente orquestrada e interação com o usuário:

  • As vítimas são atraídas por meio de um site falso de loteria e induzidas a iniciar uma mensagem no WhatsApp para reivindicar os prêmios.
  • Os usuários são redirecionados para baixar uma versão infectada do HandyPay.
  • O aplicativo solicita ser definido como o aplicativo de pagamento padrão após a instalação.
  • As vítimas são instruídas a inserir o PIN do cartão de pagamento e encostar o cartão no dispositivo.
  • Os dados NFC são capturados e transmitidos em tempo real para um dispositivo controlado pelo atacante.

Uma vez executadas, as credenciais roubadas permitem que os atacantes realizem saques não autorizados em caixas eletrônicos e transações de pagamento.

Discrição e estratégia: por que a HandyPay foi escolhida.

Acredita-se que a campanha, iniciada por volta de novembro de 2025, demonstra uma mudança deliberada nas ferramentas utilizadas. A versão maliciosa do HandyPay nunca foi distribuída pela loja oficial do Google Play, confirmando que os atacantes dependem inteiramente de técnicas de distribuição enganosas.
Diversos fatores provavelmente influenciaram a decisão de usar o HandyPay como arma. Seu custo de assinatura mais baixo em comparação com outras soluções, que frequentemente ultrapassam US$ 400 por mês, o torna uma opção econômica para agentes maliciosos. Além disso, o aplicativo não exige permissões especiais, bastando defini-lo como o aplicativo de pagamento padrão. Isso reduz a suspeita e aumenta a probabilidade de instalação bem-sucedida.

A HandyPay iniciou uma investigação interna em resposta ao uso indevido de sua plataforma.

Inteligência Artificial no Desenvolvimento de Malware: Uma Preocupação Crescente

A análise técnica do malware revelou elementos incomuns, incluindo a presença de emojis em mensagens de depuração e do sistema. Essa anomalia sugere o possível envolvimento de grandes modelos de linguagem na geração ou modificação do código malicioso.

Embora a atribuição definitiva à IA ainda não tenha sido confirmada, as descobertas estão alinhadas com uma tendência mais ampla do setor, na qual os cibercriminosos utilizam cada vez mais a inteligência artificial generativa para agilizar o desenvolvimento de malware. Isso reduz a barreira de entrada, permitindo que indivíduos com conhecimento técnico limitado criem ameaças sofisticadas.

Cenário de ameaças crescentes: Fraude NFC em ascensão

O surgimento dessa nova variante do NGate destaca uma tendência crescente em fraudes financeiras baseadas em NFC. Em vez de depender de ferramentas já estabelecidas, como o NFCGate, ou de plataformas de malware como serviço, os atacantes agora estão reaproveitando aplicativos legítimos com funcionalidade NFC integrada.

Essa abordagem aprimora tanto a eficiência operacional quanto as capacidades de evasão, sinalizando uma evolução preocupante nas táticas de ameaças móveis e reforçando a necessidade de maior vigilância na segurança de pagamentos móveis.

 

Tendendo

Mais visto

Carregando...