NGate trojanizza HandyPay: ruba PIN contactless in Brasile

ESET scopre una nuova variante NGate che trojanizza l'app Android HandyPay per intercettare PIN e dati NFC tramite relay. Il costo ridotto e l'uso di GenAI abb…

Contenuto

NGate trojanizza HandyPay: ruba PIN contactless in Brasile
NGate trojanizza HandyPay: ruba PIN contactless in Brasile

ESET Research ha scoperto una nuova variante della famiglia malware NGate che trojanizza l'applicazione Android legittima HandyPay per rubare i PIN delle carte di pagamento e trasferire i dati NFC ai dispositivi degli attaccanti. La campagna è in corso dal novembre 2025 e prende di mira utenti Android in Brasile, distribuendo l'app malevola attraverso siti di ingegneria sociale che impersonano la lotteria Rio de Prêmios e una finta pagina Google Play per un'app denominata Proteção Cartão. La svolta è economica prima che tecnica: gli operatori hanno sostituito kit MaaS da circa 400-500 dollari mensili con un'app consumer da circa 9,99 euro, riducendo la barriera di ingresso per il cybercrime sui pagamenti contactless.

Punti chiave
  • ESET Research ha identificato una variante NGate che inietta codice malevolo nell'app legittima HandyPay, usata per il relay NFC, intercettando PIN e dati delle carte di pagamento senza richiedere permessi aggiuntivi oltre a quelli di pagamento predefinito.
  • La campagna è attiva dal novembre 2025 in Brasile, con due campioni distribuiti separatamente ma ospitati sullo stesso dominio, indicando un'unica operazione gestita dallo stesso attore.
  • I ricercatori hanno riscontrato emoji nei log del malware, tipici di testi generati da strumenti GenAI, suggerendo che il codice sia stato probabilmente prodotto con assistenza di intelligenza artificiale generativa.
  • Sul server di comando e controllo sono stati trovati log relativi a quattro dispositivi compromessi, tutti geolocalizzati in Brasile, contenenti PIN catturati, indirizzi IP e timestamp delle infezioni.

HandyPay come vettore: perché un'app legittima diventa arma

NGate è una famiglia di malware specializzata nell'abuso del relay NFC: intercetta i dati della carta di pagamento da uno smartphone vittima, li trasferisce via internet a un dispositivo controllato dall'attaccante, che può quindi effettuare transazioni contactless o prelievi ATM non autorizzati. Fino a oggi le operazioni NGate si basavano su strumenti dedicati come NFCGate. La variante scoperta da ESET segna una deviazione: l'abuso di HandyPay, un'applicazione legittima disponibile al pubblico con un modello di donazione di circa 9,99 euro al mese.

La scelta non è casuale. I kit MaaS esistenti per il relay NFC, come NFU Pay e TX-NFC, costano circa 400-500 dollari al mese. Trojanizzando HandyPay, gli attaccanti ottengono funzionalità equivalenti a una frazione del costo, con l'ulteriore vantaggio di nascondere il codice malevolo dietro un'app con nome e icona riconoscibili. La versione compromessa non è mai stata distribuita attraverso il Google Play Store ufficiale, ma solo tramite siti esterni e contatti WhatsApp collegati alla campagna di ingegneria sociale.

La traccia GenAI nei log: automazione della produzione malware

Un elemento distintivo emerso dall'analisi ESET riguarda la probabile provenienza del codice iniettato. I ricercatori hanno riscontrato nei log del malware la presenza di emoji tipici di testi prodotti da strumenti di intelligenza artificiale generativa. La formulazione del report è cauta: ESET indica che l'ipotesi GenAI è la più probabile, ma la prova definitiva resta elusiva. Nonostante la riserva metodologica, l'indicazione è significativa: se confermata, mostrerebbe come strumenti accessibili e gratuiti stiano abbassando anche la soglia di competenza tecnica necessaria per trojanizzare applicazioni consumer.

Il meccanismo operativo resta tecnicamente raffinato. L'app trojanizzata richiede esclusivamente di essere impostata come servizio di pagamento predefinito sull'dispositivo Android, senza ulteriori permessi che potrebbero attivare allarmi di sicurezza. Questo riduce il footprint visibile e aumenta la probabilità che la vittima mantenga l'app installata abbastanza a lungo per completare la cattura del PIN e la trasmissione dei dati NFC al server C&C.

I vettori di distribuzione: lotteria finta e finto Google Play

ESET ha osservato due campioni distinti di NGate che condividono la stessa base HandyPay trojanizzata e lo stesso dominio di hosting, elemento che collega entrambi a un unico attore malevolo. Il primo campione è distribuito tramite un sito che impersona la lotteria brasiliana Rio de Prêmios, offrendo un premio finto di circa 20.000 real come esca sociale. Il secondo è veicolato attraverso una pagina che imita Google Play per un'app chiamata Proteção Cartão.

La campagna dimostra una conoscenza del contesto locale: la lingua è il portoghese, l'esca è una lotteria popolare in Brasile, e i quattro dispositivi compromessi identificati nei log del server C&C sono tutti geolocalizzati nel paese. ESET ha tentato di contattare il numero WhatsApp associato al sito fake utilizzando numeri non brasiliani senza ricevere risposta, lasciando incerta la logica di filtraggio geografico applicata dagli operatori.

"To trojanize HandyPay, threat actors most probably used GenAI, indicated by emoji left in the logs that are typical of AI-generated text." — ESET Research

Cosa fare adesso

  • Verificare che il dispositivo Android abbia Google Play services attivo e Google Play Protect abilitato: il sistema blocca automaticamente le versioni note di questo malware, rendendo l'infezione impossibile su dispositivi aggiornati e non modificati.
  • Installare applicazioni di pagamento NFC esclusivamente dal Google Play Store ufficiale, evitando link ricevuti via WhatsApp, SMS o email anche se apparentemente collegati a servizi noti come lotterie o istituzioni finanziarie.
  • Rivenditori e sviluppatori di app legittime nel settore dei pagamenti devono implementare controlli di integrità del codice e meccanismi di rilevamento della modificazione, poiché la trojanizzazione di app consumer sta diventando un vettore a basso costo per il cybercrime.
  • Le istituzioni finanziarie operanti in Brasile e in mercati con elevata penetrazione dei pagamenti contactless dovrebbero monitorare pattern di transazione anomali compatibili con relay NFC, inclusi prelievi ATM in luoghi distanti dall'area abituale del titolare della carta.

Democratizzazione del relay NFC: quando il costo è l'arma

La rilevanza strategica di questa scoperta va oltre il caso brasiliano. L'adozione di HandyPay come vettore dimostra che il mercato del malware sta sperimentando una disintermediazione criminale: non servono più budget da centinaia di dollari mensili per accesso a kit specializzati, ma basta trojanizzare un'app consumer a pochi euro. Se l'uso di GenAI si consolidasse come metodo standard per produrre o modificare codice malevolo, il ciclo di vita dalla concezione alla distribuzione potrebbe contrarsi ulteriormente.

Il Brasile funge da laboratorio per questo modello ibrido, combinando ingegneria sociale localizzata, relay NFC e furto di PIN con strumenti economicamente scalabili. La fattibilità tecnica è già provata; la variabile rimanente è la velocità con cui questo stack potrà essere replicato in altre regioni con analoga dipendenza dai pagamenti contactless. ESET ha contattato lo sviluppatore di HandyPay, che ha confermato di aver avviato un'indagine interna. L'esito non è noto, ma la pressione sui fornitori di app consumer per rafforzare la protezione del codice sorgente e dei binari distribuiti è destinata a crescere.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Link utili

Apri l'articolo su DeafNews