NGate Android malware uses HandyPay NFC app to steal card data

Menace NGate : vol de données bancaires via NFC

Une nouvelle variante du malware NGate cible les utilisateurs Android en utilisant une version piégée de l’application de paiement légitime HandyPay. Ce logiciel malveillant détourne la technologie NFC du smartphone pour intercepter les données de cartes bancaires, permettant aux attaquants de créer des cartes virtuelles pour des transactions frauduleuses ou des retraits aux guichets automatiques.

Points clés :

• Fonctionnement : Le malware incite la victime à définir l’application comme outil de paiement par défaut, à saisir son code PIN et à scanner sa carte physique via le capteur NFC.
• Évolution : Contrairement aux anciennes versions utilisant l’outil open-source NFCGate, cette variante privilégie HandyPay pour sa discrétion et son coût dérisoire.
• Développement : La présence d’emojis dans le code source suggère l’utilisation d’outils d’IA générative pour concevoir la charge utile malveillante.
• Ciblage : Actif depuis novembre 2025, le malware vise principalement les utilisateurs au Brésil via des sites de loterie frauduleux et de fausses applications de sécurité (“Proteção Cartão”).

Vulnérabilités :

• Aucune CVE spécifique n’est associée, le malware exploitant l’ingénierie sociale et les fonctionnalités légitimes de communication NFC du système Android pour exfiltrer les données.

Recommandations :

• Ne télécharger des applications que depuis le Google Play Store officiel et se méfier des fichiers APK provenant de sources tierces ou de liens suspects (WhatsApp, sites tiers).
• Désactiver le NFC sur le smartphone lorsqu’il n’est pas utilisé pour le paiement.
• Activer Google Play Protect pour détecter et bloquer les signatures connues du malware.
• Être vigilant face aux applications demandant de devenir l’application de paiement par défaut sans justification légitime.

Source