ESET Research: Neue NGate-Variante versteckt sich in Bezahl-App für Android

ESET beobachtet deren Aktivitäten bereits seit dem Januar 2025. Hotspots der Aktivitäten sind neben Brasilien Russland, Rumänien und Deutschland. Über 18 Prozent aller Erkennungen dieser Familie waren in Deutschland. "Derzeit lassen sich in den betroffenen Apps keine deutschlandspezifischen Motive in den NGate-Kampagnen feststellen. Eine solche Ausrichtung beobachten wir nur bei Kampagnen in anderen Sprachen, beispielsweise bei russischsprachigen Kampagnen mit Bezug zu russischen Bankthemen. Dies deutet darauf hin, dass die wahrscheinlichen Ziele in Deutschland nicht deutsche Nutzer sind. Eine weitere mögliche Erklärung ist das Vorhandensein von Testgeräten, die sich in Deutschland befinden", erklärt ESET-Forscher Lukas Stefanko, der die neue NGate-Variante entdeckt hat. "Es ist aber nicht auszuschließen, dass die Gruppe ihre Aktivitäten gezielt auch auf Deutschland ausweitet."

KI-Tools haben bei Erstellung der Malware

Der Schadcode, mit dem HandyPay kompromittiert wurde, weist mehrere Hinweise auf den Einsatz von KI-Tools auf. So enthalten die Malware-Logs ein Emoji, das typischerweise in KI-generierten Texten vorkommt. Das legt nahe, dass große Sprachmodelle bei der Erstellung oder Anpassung des Codes eingesetzt wurden. Auch wenn sich der Einsatz von KI nicht abschließend belegen lässt, passt der Fund in ein klares Muster. Generative KI senkt die Einstiegshürden für Cyberkriminelle und ermöglicht es auch weniger erfahrenen Angreifern, funktionierende Schadsoftware zu entwickeln.

Kampagne der Kriminellen läuft seit November 2025

Nach Einschätzung von ESET Research läuft die Kampagne mit der manipulierten HandyPay-App seit etwa November 2025 und ist weiterhin aktiv. Wichtig dabei: Die schädliche Version von HandyPay war nie im offiziellen Google Play Store verfügbar. Als Partner der App Defense Alliance hat ESET Google über die Erkenntnisse informiert. Zudem wurden die Entwickler von HandyPay über den Missbrauch ihrer Anwendung in Kenntnis gesetzt.

Die erste neue NGate-Probe wurde über eine Website verbreitet, die sich als "Rio de Prêmios", eine Lotterie der staatlichen Lotterieorganisation von Rio de Janeiro (Loterj), ausgibt. Die zweite Probe stammt von einer gefälschten Google-Play-Webseite, auf der die App unter dem Namen "Proteção Cartão" angeboten wurde Beide Seiten waren auf derselben Domain gehostet, was stark auf einen einzelnen Akteur hindeutet.

Die Malware nutzt den HandyPay-Dienst, um NFC-Daten von Zahlungskarten an ein Gerät unter Kontrolle der Angreifer weiterzuleiten. Neben der Weitergabe der NFC-Daten stiehlt der Schadcode auch die PINs der Zahlungskarten. Dadurch können die Täter Bargeld an Geldautomaten abheben.

Mit der steigenden Zahl von NFC-basierten Angriffen ist auch das unterstützende Ökosystem gewachsen. Die ersten NGate-Angriffe nutzten noch das Open-Source-Tool NFCGate zur Übertragung der NFC-Daten. Inzwischen sind mehrere Malware?as?a?Service-Angebote mit ähnlichen Funktionen auf dem Markt. In der aktuellen Kampagne entschieden sich die Angreifer jedoch für einen anderen Weg und entwickelten eine eigene Lösung, indem sie eine bestehende App manipulierten.

Eine detaillierte technische Analyse der neuen NGate-Variante finden Sie im aktuellen Blogbeitrag auf WeLiveSecurity: www.welivesecurity.com/en/eset-research/new-ngate-variant-hides-in-a-trojanized-nfc-payment-app ( https://www.welivesecurity.com/en/eset-research/new-ngate-variant-hides-in-a-trojanized-nfc-payment-app/ )

(Ende)

Aussender: ESET Deutschland GmbH Ansprechpartner: Michael Klatte Tel.: +49 (0) 3641-3114-257 E-Mail: michael.klatte@eset.de Website: www.eset.de