MalwareSchwachstellenCyberkriminalität

NGate-Malware kapert HandyPay: Brasilien im Visier von NFC-Betrügern

NGate-Malware kapert HandyPay: Brasilien im Visier von NFC-Betrügern
Zusammenfassung

Die Cybersicherheitscommunity hat eine neue Variante der Android-Malware NGate entdeckt, die legitime NFC-Payment-Anwendungen infiltriert, um Zahlungsdaten und PINs zu stehlen. Die aktuelle Kampagne zielt primär auf brasilianische Nutzer ab und nutzt das verbreitete Zahlungs-Tool HandyPay als Angriffsvehikel – erstmals wurde die Malware über gefälschte Lotteriewebseiten und manipulierte App-Store-Einträge verbreitet. Sobald die trojanisierte HandyPay-App installiert ist, kann die Malware NFC-Daten von Kreditkarten abfangen, PINs exfiltrieren und diese für Geldautomaten-Abhebungen und betrügerische Transaktionen missbrauchen. Für Deutschland sind solche NFC-Relay-Attacken bislang weniger verbreitet, doch mit der zunehmenden Normalisierung kontaktloser Zahlungen steigt das Risiko auch hierzulande. Deutsche Nutzer sollten wachsam sein: Der Trend zeigt, dass Cyberkriminelle gezielt beliebte, legitime Apps kompromittieren – besonders beunruhigend ist die Verwendung von KI-generierten Code-Komponenten, die Malware schwerer erkennbar macht. Für Unternehmen und Behörden bedeutet dies eine Notwendigkeit verstärkter Awareness-Kampagnen sowie technischer Sicherheitsmaßnahmen gegen NFC-basierte Fraud-Methoden.

Die NGate-Malware, auch unter dem Namen NFSkate bekannt, wurde erstmals im August 2024 öffentlich dokumentiert. Damals zeigte sich bereits ihr destruktives Potenzial: Sie führt Relay-Angriffe durch, bei denen NFC-Zahlungsdaten von Opfern abgezweigt werden. Nun hat die Slowakische Sicherheitsfirma ESET eine neue Iteration aufgespürt, die das bisherige Konzept raffiniert weiterentwickelt.

Diese Version nutzt nicht mehr die bekannte NFCGate-Anwendung als Werkzeug, sondern kapert HandyPay — eine legitime App mit bestehender NFC-Relay-Funktionalität. “Die Bedrohungsakteure haben die App genommen, die für die Übertragung von NFC-Daten verwendet wird, und sie mit bösartigem Code gepatcht, der offensichtlich von einer KI generiert wurde”, erklärt ESET-Forscher Lukáš Štefanko. Die bösartige Payload kann nicht nur NFC-Daten von Zahlungskarten abfangen und weiterleiten, sondern auch die PIN des Opfers aufzeichnen und an einen Command-and-Control-Server der Angreifer übertragen.

Die Verbreitungsmethode ist perfide durchdacht: Fake-Websites, die sich als “Rio de Prêmios” — eine Lotterie des Bundesstaates Rio de Janeiro — ausgeben, locken Nutzer zu Downloads. Auch gefälschte Google-Play-Store-Seiten von angeblichen Kartenschutz-Apps werden eingesetzt. Besonders tückisch: Das Fake-Lottery-Portal bittet das Opfer, eine WhatsApp-Nachricht zu senden, um einen Gewinn zu beanspruchen. Dabei werden sie zur Download-Seite der trojanisierten HandyPay weitergeleitet.

Nach der Installation fordert die Malware das Opfer auf, die Zahlungskarten-PIN einzugeben und die Karte an das NFC-Smartphone zu halten. Damit ist das Spiel verloren: Die App erfasst die Kartendaten, leitet sie an den Angreifer weiter, und dieser kann damit Geldautomaten plündern.

Die aktive Kampagne läuft seit November 2025 und hat bislang Brasilien im Fokus. Warum HandyPay? Der wirtschaftliche Anreiz ist groß: Andere spezialisierte NFC-Malware-Lösungen kosten über 400 Dollar monatlich. HandyPay hingegen ist günstiger — und erfordert keine verdächtigen Berechtigungen. Das macht die Trojaner-App weniger auffällig.

Der Code enthält auffällige Emojis in Debug- und Toast-Meldungen, was auf KI-generierte oder modifizierte Quellcode hindeutet. Dies unterstreicht einen besorgniserregenden Trend: Cyberkriminelle nutzen zunehmend Large Language Models, um Malware auch ohne tiefe technische Expertise zu produzieren.

“NFC-Betrug ist im Aufwind”, warnt ESET. Deutschland sollte aufmerksam beobachten, denn diese Methodik ist nicht auf Brasilien begrenzt.

Ähnliche Artikel