Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware NGate-Bösartige Kampagne

NGate-Bösartige Kampagne

Von Mezo in Mobile Malware
Übersetzen Sie in:

Cybersicherheitsexperten haben eine neue Variante der Android-Malware-Familie NGate entdeckt, die nun anstelle von NFCGate die legitime Anwendung HandyPay ausnutzt. Diese Entwicklung verdeutlicht einen Strategiewechsel bei Angreifern: Sie setzen auf vertrauenswürdige Tools, um die Effektivität und Unauffälligkeit ihrer Angriffe zu verbessern.

Die Angreifer haben HandyPay, eine ursprünglich zur Weiterleitung von NFC-Daten entwickelte Anwendung, durch das Einschleusen von Schadcode verändert. Es gibt Hinweise darauf, dass Teile dieses Codes mithilfe künstlicher Intelligenz generiert wurden.

Ähnlich wie frühere NGate-Varianten ermöglicht diese modifizierte Anwendung Angreifern, NFC-Daten von der Zahlungskarte eines Opfers abzufangen und auf ein Gerät unter ihrer Kontrolle zu übertragen. Diese gestohlenen Daten werden anschließend für kontaktlose Geldabhebungen an Geldautomaten und unautorisierte Transaktionen verwendet.

Zusätzlich zum Abfangen von Daten ist die Malware in der Lage, die PIN der Zahlungskarte des Opfers zu erfassen und an einen entfernten Command-and-Control-Server (C2) zu übermitteln, wodurch das Risiko einer finanziellen Kompromittierung erheblich erhöht wird.

Von NFSkate bis RatOn: Das wachsende Repertoire der Malware

NGate, auch bekannt als NFSkate, trat erstmals im August 2024 öffentlich in Erscheinung, als Forscher seine Fähigkeit dokumentierten, NFC-Relay-Angriffe durchzuführen, um kontaktlose Zahlungsdaten für betrügerische Zwecke abzugreifen. Im Laufe der Zeit haben sich seine Verbreitungsmechanismen und Vorgehensweisen weiterentwickelt.

Bis 2025 wurden im Rahmen einer damit verbundenen Kampagne namens RatOn sogenannte Dropper-Anwendungen eingeführt, die als Versionen von TikTok mit Inhalten für Erwachsene getarnt waren. Diese betrügerischen Apps wurden genutzt, um NGate einzusetzen und NFC-Relay-Angriffe durchzuführen, was die zunehmende Raffinesse von Social-Engineering-Techniken verdeutlicht.

Brasilien im Fokus: Eine gezielte Kampagne entsteht

Die jüngste NGate-Kampagne stellt eine bemerkenswerte Verschiebung der geografischen Ausrichtung dar, mit einem Hauptaugenmerk auf Nutzer in Brasilien. Dies ist der erste bekannte Fall, in dem die Schadsoftware speziell für ein südamerikanisches Publikum entwickelt wurde.

Die Verbreitungsmethoden basieren maßgeblich auf Täuschung. Angreifer nutzen gefälschte Webseiten, die sich als Rio de Prêmios, eine Lotterie der staatlichen Lotterieorganisation von Rio de Janeiro, ausgeben, sowie betrügerische Seiten im Google Play Store, die eine angebliche Kartenschutz-App bewerben. Diese Kanäle sollen Nutzer dazu verleiten, eine manipulierte Version von HandyPay herunterzuladen.

Infektionskette: Wie Opfer manipuliert werden

Die Angriffssequenz beruht auf sorgfältig orchestriertem Social Engineering und Benutzerinteraktion:

  • Die Opfer werden über eine gefälschte Lotterie-Website angelockt und dazu aufgefordert, eine WhatsApp-Nachricht zu senden, um ihre Gewinne einzufordern.
  • Nutzer werden zum Herunterladen einer mit einem Trojaner infizierten Version von HandyPay weitergeleitet.
  • Die Anwendung fordert an, bei der Installation als Standard-Zahlungs-App festgelegt zu werden.
  • Die Opfer werden angewiesen, ihre Zahlungskarten-PIN einzugeben und ihre Karte an das Gerät zu halten.
  • NFC-Daten werden erfasst und in Echtzeit an ein vom Angreifer kontrolliertes Gerät weitergeleitet.

Nach erfolgreicher Ausführung erlangen die Angreifer die Fähigkeit, mit den gestohlenen Zugangsdaten unautorisierte Geldautomatenabhebungen und Zahlungstransaktionen durchzuführen.

Tarnung und Strategie: Warum HandyPay ausgewählt wurde

Die Kampagne, die vermutlich um November 2025 begann, zeigt eine gezielte Änderung der verwendeten Tools. Die schädliche Version von HandyPay wurde nie über den offiziellen Google Play Store verbreitet, was bestätigt, dass die Angreifer ausschließlich auf irreführende Verbreitungsmethoden setzen.
Mehrere Faktoren dürften die Entscheidung, HandyPay als Waffe einzusetzen, beeinflusst haben. Die im Vergleich zu anderen Lösungen – die oft über 400 US-Dollar pro Monat kosten – niedrigeren Abonnementkosten machen es zu einer wirtschaftlichen Option für Cyberkriminelle. Zudem benötigt die Anwendung keine besonderen Berechtigungen; es genügt, sie als Standard-Zahlungs-App festzulegen. Dies mindert den Verdacht und erhöht die Wahrscheinlichkeit einer erfolgreichen Installation.

HandyPay hat aufgrund des Missbrauchs seiner Plattform eine interne Untersuchung eingeleitet.

KI in der Malware-Entwicklung: Eine wachsende Sorge

Die technische Analyse der Schadsoftware hat ungewöhnliche Elemente aufgedeckt, darunter das Vorhandensein von Emojis in Debug- und Systemmeldungen. Diese Anomalie deutet auf die mögliche Beteiligung großer Sprachmodelle an der Generierung oder Modifizierung des Schadcodes hin.

Obwohl ein eindeutiger Zusammenhang mit KI noch nicht bestätigt ist, decken sich die Ergebnisse mit einem branchenweiten Trend, bei dem Cyberkriminelle zunehmend generative künstliche Intelligenz nutzen, um die Malware-Entwicklung zu optimieren. Dies senkt die Einstiegshürde und ermöglicht es auch Personen mit geringen technischen Kenntnissen, komplexe Bedrohungen zu erstellen.

Zunehmende Bedrohungslage: NFC-Betrug auf dem Vormarsch

Das Auftreten dieser neuen NGate-Variante unterstreicht einen wachsenden Trend bei NFC-basiertem Finanzbetrug. Anstatt auf etablierte Tools wie NFCGate oder Malware-as-a-Service-Plattformen zurückzugreifen, missbrauchen Angreifer nun legitime Anwendungen mit integrierter NFC-Funktionalität.

Dieser Ansatz verbessert sowohl die operative Effizienz als auch die Umgehungsmöglichkeiten und signalisiert damit eine besorgniserregende Weiterentwicklung der Taktiken mobiler Bedrohungen. Er unterstreicht die Notwendigkeit erhöhter Wachsamkeit im Bereich der mobilen Zahlungssicherheit.

 

Im Trend

Am häufigsten gesehen

Wird geladen...