Thought Leadership
Sicherheitsforscher von ESET warnen vor einer Weiterentwicklung der NGate-Malware. Hacker nutzen eine manipulierte Version der seriösen App „HandyPay“, um kontaktlose Bezahldaten und PINs direkt von Android-Smartphones abzugreifen.
Sicherheitsforscher des Unternehmens ESET haben einen Bericht über eine neue Variante der berüchtigten NGate-Malware veröffentlicht. Das berichtete Bleeping Computer. Diese Schadsoftware, die bereits im Jahr 2024 für Schlagzeilen sorgte, hat sich nun weiterentwickelt und nutzt eine hocheffektive Methode, um an die physischen Kreditkartendaten von Nutzern zu gelangen. Anstatt sich auf komplexe Exploits zu verlassen, missbraucht die Malware eine legitime Anwendung namens HandyPay, um eine Brücke zwischen dem Opfer und dem Kriminellen zu schlagen.
Die Evolution der NGate-Malware
Ursprünglich wurde NGate Mitte 2024 dokumentiert, als die Malware vor allem Nutzer in Tschechien ins Visier nahm. Damals nutzten die Angreifer das Open-Source-Tool NFCGate, um die Near-Field-Communication-Daten (NFC) von Bezahlkarten abzugreifen und an ein Gerät des Hackers weiterzuleiten. Dieser „Relay-Angriff“ ermöglicht es den Kriminellen, die Karte des Opfers auf ihrem eigenen Smartphone zu emulieren und damit Einkäufe zu tätigen oder Bargeld an NFC-fähigen Geldautomaten abzuheben.
In der aktuellen Kampagne, die laut ESET Research seit November 2025 aktiv ist, haben die Hacker ihre Taktik jedoch verfeinert. Sie setzen nun auf eine trojanisierte Version der App HandyPay. Diese Anwendung ist seit 2021 im offiziellen Google Play Store verfügbar und dient eigentlich der rechtmäßigen Übertragung von Zahlungsdaten zwischen Geräten. Die Angreifer injizierten jedoch bösartigen Code in eine Kopie der App und verbreiten diese nun außerhalb der offiziellen Kanäle.
Künstliche Intelligenz als Programmierhilfe für Hacker
Ein besonders interessantes Detail der aktuellen Analyse betrifft den Ursprung des Schadcodes. Die Forscher stellten fest, dass der injizierte Code zahlreiche Emojis in den Debug-Meldungen und Benachrichtigungen enthält. Dies ist ein typisches Merkmal für Texte und Skripte, die von großen Sprachmodellen (LLMs) generiert wurden. Während schlüssige Beweise für den Einsatz von KI oft schwer zu erbringen sind, passt dieser Fund perfekt in den globalen Trend des Jahres 2026, in dem Cyberkriminelle zunehmend generative KI nutzen, um ohne tiefgreifende Programmierkenntnisse funktionstüchtige Malware zu erstellen.
Der Wechsel zu HandyPay hat für die Kriminellen zudem handfeste finanzielle Vorteile. Professionelle Tools für NFC-Relay-Angriffe werden in Untergrundforen oft für Preise zwischen 400 und 500 US-Dollar pro Monat angeboten. Im Gegensatz dazu ist HandyPay deutlich günstiger oder verlangt lediglich eine kleine Spende. Zudem ist die App technisch weniger „auffällig“, da sie von Haus aus nur minimale Berechtigungen benötigt und lediglich als Standard-Bezahl-App festgelegt werden muss, um zu funktionieren. Dies hilft den Hackern dabei, die Entdeckung durch verhaltensbasierte Sicherheitssysteme zu vermeiden.
Perfide Verteilungswege: Lotterie-Gewinne und Fake-Schutz
Die Verbreitung der Malware erfolgt über zwei psychologisch geschickt aufgebaute Wege. Ein Vektor lockt Nutzer auf eine gefälschte Webseite der staatlichen Lotterie von Rio de Janeiro (Rio de Prêmios). Dort wird den Opfern ein Gewinn von 20.000 Real vorgetäuscht. Um diesen zu beanspruchen, werden sie zu einem WhatsApp-Chat weitergeleitet, über den sie schließlich den Link zum Download der infizierten APK-Datei erhalten.
Der zweite Weg führt über eine täuschend echte Kopie des Google Play Stores. Dort wird eine App namens „Proteção Cartão“ (Kartenschutz) beworben, die angeblich vor Betrug schützen soll. In beiden Fällen werden die Nutzer durch Social Engineering dazu gebracht, die Installation von Apps aus unbekannten Quellen zuzulassen. Das ist eine Sicherheitsbarriere, die Android-Systeme standardmäßig zum Schutz der Anwender implementiert haben.
Der Diebstahl-Prozess: PIN-Abfrage und Karten-Scan
Sobald die manipulierte HandyPay-App installiert ist, fordert sie den Nutzer auf, sie als Standard-App für kontaktloses Bezahlen festzulegen. Dies ist der entscheidende Schritt, um die Kontrolle über den NFC-Chip des Smartphones zu erlangen. Im nächsten Schritt wird das Opfer unter einem Vorwand gebeten, den PIN-Code seiner Kreditkarte in die App einzugeben. Da der Nutzer glaubt, sich in einer legitimen Schutz- oder Bezahl-App zu befinden, geben viele diese Information bereitwillig preis.
Anschließend fordert die App den Nutzer auf, seine physische Karte an die Rückseite des Telefons zu halten. In diesem Moment liest NGate die NFC-Daten aus und sendet sie zusammen mit dem zuvor eingegebenen PIN-Code an eine im Code fest hinterlegte E-Mail-Adresse des Angreifers. Mit diesen Informationen können die Kriminellen innerhalb kürzester Zeit eine virtuelle Kopie der Karte erstellen. Da viele Geldautomaten in Brasilien und anderen Teilen der Welt mittlerweile das kontaktlose Abheben unterstützen, führt dies oft zum sofortigen finanziellen Verlust für die Betroffenen.
Schutzmaßnahmen
ESET und CyberInsider empfehlen dringend, niemals APK-Dateien von Webseiten oder aus Messenger-Apps wie WhatsApp herunterzuladen, selbst wenn diese einen offiziellen Anschein erwecken. Der sicherste Weg für App-Installationen bleibt der offizielle Google Play Store, auch wenn Kriminelle versuchen, dessen Design zu kopieren.
Zudem sollten Nutzer regelmäßig prüfen, ob der integrierte Schutzdienst Google Play Protect aktiviert ist, da dieser in der Lage ist, bekannte Varianten der NGate-Malware zu erkennen und zu blockieren. Eine weitere einfache, aber wirksame Maßnahme ist das Deaktivieren der NFC-Funktion in den Systemeinstellungen, wenn diese gerade nicht für Zahlungen benötigt wird.
