MalwareDatenschutzCyberkriminalität

NGate-Malware targt Android-Nutzer: Trojaner versteckt sich in Payment-App

NGate-Malware targt Android-Nutzer: Trojaner versteckt sich in Payment-App
Zusammenfassung

Eine neue Variante der NGate-Malware bedroht Android-Nutzer weltweit durch eine manipulation des legitimen Bezahldienstes HandyPay. Die Schadsoftware, die erstmals Mitte 2024 dokumentiert wurde, nutzt die NFC-Funktionalität von Mobilgeräten, um Zahlungskartendaten zu stehlen und diese an Angreifer zu übermitteln, die damit virtuelle Karten erstellen und unbefugte Transaktionen durchführen. ESET-Forscher haben eine neue Variante entdeckt, bei der NGate in einer trojanisierten Version von HandyPay versteckt ist – einem beliebten NFC-Zahlungswerkzeug aus dem Google Play Store. Im Gegensatz zu früheren Versionen, die das Open-Source-Tool NFCGate nutzten, setzen die Angreifer jetzt auf HandyPay, das kostengünstiger ist und weniger Verdacht erregt, da es native NFC-Funktionen ohne spezielle Berechtigungen bietet. Die aktuelle Kampagne ist seit November 2025 aktiv und zielt hauptsächlich auf Android-Geräte in Brasilien ab, verbreitet sich aber über betrügerische App-Seiten und gefälschte Lotteriewebseiten. Für deutsche Nutzer und Unternehmen stellt dies ein warnendes Beispiel dar: Das Risiko ist real, wenn Nutzer Apps außerhalb vertrauenswürdiger Quellen installieren und NFC-Funktionen unbewacht aktivieren lassen.

Die NGate-Malware ist nicht neu, doch ihre jüngste Weiterentwicklung zeigt alarmierende Raffinesse. Die ursprüngliche Version nutzte ein Open-Source-Tool namens NFCGate, um Zahlkarteninformationen abzufangen, weiterzuleiten und erneut zu verwenden. Die gestohlenen Daten ermöglichten es den Angreifern, virtuelle Karten zu erstellen und damit unbefugte Einkäufe oder Geldabhebungen an NFC-fähigen Geldautomaten durchzuführen.

Der Wechsel zu HandyPay markiert eine strategische Umstellung der Angreifer. Während spezialisierte NFC-Relaying-Tools wie NFU Pay (knapp 400 US-Dollar monatlich) oder TX-NFC (etwa 500 US-Dollar monatlich) erhebliche Kosten verursachen und verdächtige Aktivitäten hinterlassen, bietet HandyPay eine kostengünstige Alternative. Die App existiert seit 2021 im Google Play Store und benötigt native NFC-Funktionalität. Mit nur 9,99 Euro monatlicher “Spende” ist sie deutlich günstiger – und weckt weniger Verdacht.

Besonders bemerkenswert ist, dass die neue NGate-Variante Code mit Emojis enthält, was Sicherheitsforscher auf den Einsatz von generativer KI bei der Malware-Entwicklung hindeuten lässt. Dies unterstreicht die zunehmende Professionalisierung von Cyberkriminellen.

Die Infektionsmethoden sind psychologisch durchdacht: Eine täuschend echte “Proteção Cartão”-App (Kartenschutz) wird über gefälschte Google-Play-Seiten verteilt, während betrügerische Lottery-Websites Nutzer über WhatsApp zu APK-Downloads locken. Nach Installation folgt ein ausgefeiltes Social-Engineering-Szenario: Die App fordert dazu auf, sie als Standard-NFC-Payment-App zu setzen, die Kartennummer, das Verfallsdatum und die PIN einzugeben, dann die Karte an das Telefon zu halten. Alle gesammelten Daten werden an eine in der App hartcodierten E-Mail-Adresse des Angreifers übermittelt.

Für deutsche Nutzer gibt es mehrere Schutzmaßnahmen: APKs sollten ausschließlich aus dem Google Play Store heruntergeladen werden. NFC-Funktionalität sollte deaktiviert bleiben, wenn sie nicht benötigt wird. Google Play Protect bietet zusätzlichen Schutz und erkennt die aktuelle NGate-Variante.

Während die aktuelle Kampagne auf Brasilien konzentriert ist, zeigt die Malware das klassische Verbreitungsmuster von Android-Trojanern – eine zeitlose Bedrohung, die mobile Payment-Sicherheit in Frage stellt.

Ähnliche Artikel