Une nouvelle version du malware NGate, spécialisée dans le vol de données de paiement NFC, s’attaque aux utilisateurs d’Android en se dissimulant dans une version altérée de l’application HandyPay, un outil de traitement de paiements mobile légitime.
Initialement observé au milieu de l’année 2024, NGate exploite la puce de communication en champ proche (NFC) des appareils mobiles pour dérober les informations des cartes de paiement.
Les données sont transmises à l’attaquant, qui crée des cartes virtuelles pour effectuer des achats non autorisés ou retirer de l’argent aux distributeurs automatiques compatibles avec la technologie NFC.
Les premières versions du malware utilisaient un outil open-source nommé NFCGate pour capter, relayer et reproduire les informations des cartes de paiement.
Des recherches récentes menées par ESET révèlent une variante utilisant cette version modifiée de l’application HandyPay, dans laquelle un code malveillant a été injecté pour faciliter le vol de données.
Les chercheurs ont également noté que le code du nouveau NGate incluait des emojis, ce qui pourrait suggérer l’utilisation d’un outil d’intelligence artificielle générative lors de son développement.
Source : ESET
Disponible sur Google Play depuis 2021, HandyPay permet des transmissions de données basées sur la technologie NFC entre appareils, une fonctionnalité que NGate exploite pour exfiltrer les informations de carte.
ESET avance que le passage de NFCGate à HandyPay pourrait être motivé par des raisons financières, mais la nécessité d’évasion joue également un rôle important. Les chercheurs soulignent que les outils de relais NFC tels que NFU Pay et TX-NFC sont coûteux et générent beaucoup de bruit sur les appareils infectés.
La mise en avant des prix révèle que NFU Pay coûte près de 400 $ par mois, tandis que TX-NFC avoisine les 500 $ mensuels. HandyPay, pour sa part, ne demande qu’une donation de 9,99 € par mois, voire moins.
De plus, HandyPay ne nécessite pas de permissions particulières, hormis celle d’être désigné comme l’application de paiement par défaut, ce qui aide les acteurs malveillants à passer inaperçus.
Concernant la cible, ESET informe que cette campagne avec la dernière variante est active depuis novembre 2025, se concentrant principalement sur les appareils Android au Brésil.
Deux méthodes de distribution sont utilisées pour cette campagne. La première incite les utilisateurs à télécharger une application frauduleuse baptisée “Proteção Cartão”, promettant des fonctionnalités de protection des cartes. Cette application est hébergée sur une fausse page Google Play.
La seconde méthode passe par un site web de loterie factice où les visiteurs « gagnent un prix » et sont redirigés vers WhatsApp pour le réclamer, ce qui conduit finalement au téléchargement de l’APK malveillant.
Source : ESET
Après installation, l’application demande aux utilisateurs de la définir comme l’application de paiement NFC par défaut, de fournir leur code PIN de carte, et les incite à approcher leur carte du téléphone pour la lecture.
Toutes les informations récupérées de cette manière sont envoyées à une adresse email de l’attaquant, intégrée dans l’application.
Source : ESET
Les utilisateurs Android sont donc conseillés de ne jamais télécharger d’APKs en dehors de Google Play, à moins de connaître explicitement l’éditeur, de désactiver la technologie NFC lorsqu’elle n’est pas nécessaire, et de procéder à des scans de menaces avec Play Protect, qui détecte et bloque la dernière variante du malware NGate.