Een nieuwe variant van de NGate-malware richt zich op Android-gebruikers door zich te verbergen in een trojan-versie van HandyPay, een legitieme mobiele betaalapp. Deze malware steelt betaalkaartgegevens via de near-field communication (NFC)-chip van het mobiele apparaat en zendt deze door naar aanvallers, die vervolgens virtuele kaarten aanmaken voor ongeautoriseerde aankopen of geldopnames bij NFC-ondersteunde geldautomaten.

NGate werd voor het eerst gedocumenteerd in midden 2024 en gebruikte aanvankelijk een open-source tool genaamd NFCGate om kaartgegevens te onderscheppen, door te sturen en opnieuw af te spelen. Nieuw onderzoek van ESET toont aan dat de nieuwste variant een aangepaste versie van de HandyPay-app gebruikt, waarin kwaadaardige code is geïnjecteerd om het stelen van data mogelijk te maken. Interessant is dat de malwarecode emoji’s bevat, wat kan wijzen op het gebruik van een generatief AI-hulpmiddel bij de ontwikkeling.

HandyPay is sinds 2021 beschikbaar in Google Play en ondersteunt NFC-gegevensoverdracht tussen apparaten, een functionaliteit die NGate misbruikt om kaartgegevens te exfiltreren. Volgens ESET is de overstap van NFCGate naar HandyPay waarschijnlijk financieel gemotiveerd, maar ook bedoeld om detectie te vermijden. NFC-relaytools zoals NFU Pay en TX-NFC zijn duur (tot bijna 500 dollar per maand) en veroorzaken opvallende activiteit op geïnfecteerde apparaten. HandyPay vraagt slechts een vrijwillige donatie van €9,99 per maand en vereist geen speciale permissies, behalve dat het als standaard betaalapp moet worden ingesteld, wat helpt om argwaan te voorkomen.

De campagne met deze NGate-variant is sinds november 2025 actief en richt zich vooral op Android-apparaten in Brazilië. De malware wordt verspreid via twee methoden: een nep-app genaamd “Proteção Cartão” die kaartbescherming belooft en wordt aangeboden via een valse Google Play-pagina, en een nep-loterijwebsite die bezoekers naar WhatsApp leidt om een prijs te claimen, waarna de kwaadaardige APK wordt gedownload. Na installatie vraagt de app gebruikers om deze als standaard NFC-betaalapp in te stellen, hun kaart-PIN in te voeren en de kaart tegen de telefoon te houden. Alle verzamelde gegevens worden vervolgens naar een hardcoded e-mailadres van de aanvaller gestuurd.

Android-gebruikers wordt aangeraden geen APK-bestanden buiten Google Play te downloaden tenzij de uitgever expliciet wordt vertrouwd, NFC uit te schakelen als het niet nodig is en Play Protect te gebruiken om bedreigingen te detecteren en te blokkeren, waaronder de nieuwste NGate-variant.