🔍 Contexte
Publié le 21 avril 2026 par ESET Research (Lukas Stefanko), cet article présente la découverte d’une nouvelle variante du malware NGate ciblant des utilisateurs Android au Brésil, active depuis novembre 2025.
🦠 Description du malware
Les attaquants ont trojanisé l’application légitime HandyPay (disponible sur Google Play depuis 2021), qui permet nativement de relayer des données NFC entre appareils. Le code malveillant injecté présente des signes d’avoir été généré par GenAI/LLM (présence d’emojis dans les logs, typiques des textes générés par IA).
Fonctionnalités malveillantes :
- Relais de données NFC de la carte bancaire de la victime vers l’appareil de l’attaquant
- Capture du PIN de la carte bancaire via une zone de saisie modifiée
- Exfiltration du PIN vers un serveur C&C via HTTP
- Utilisation pour des retraits ATM sans contact et paiements non autorisés
📦 Distribution
Deux échantillons NGate distincts ont été observés, hébergés sur le même domaine :
- Faux site de loterie imitant Rio de Prêmios (loterie de l’État de Rio de Janeiro) — jeu de grattage truqué promettant R$20 000, redirection vers WhatsApp
- Fausse page Google Play distribuant une app nommée Proteção Cartão (Protection Carte)
Les deux sites sont hébergés sur le même domaine, indiquant un acteur unique.
💰 Motivation économique
Le choix de trojaniser HandyPay plutôt que d’utiliser des solutions MaaS existantes (NFU Pay ~400 $/mois, TX-NFC ~500 $/mois) s’explique par le coût : HandyPay ne demande qu’une donation de 9,99 €/mois. De plus, l’app ne requiert aucune permission Android suspecte.
🌍 Contexte géopolitique
Le Brésil est une cible récurrente des campagnes NGate, notamment via la variante PhantomCard (utilisant NFU Pay). Les attaques NFC s’étendent géographiquement avec des tactiques de plus en plus sophistiquées.
📋 IoCs techniques
- Serveur C&C / distribution :
protecaocartao[.]online(104.21.91[.]170) - Serveur d’hébergement : 108.165.230[.]223 (BattleHost)
- Trois fichiers APK malveillants identifiés (SHA-1 documentés)
📄 Type d’article
Publication de recherche technique par ESET Research, visant à documenter une nouvelle variante de NGate, ses mécanismes d’infection, sa chaîne de distribution et ses IoCs pour la communauté CTI.
🧠 TTPs et IOCs détectés
TTP
- T1660 — Phishing (Initial Access)
- T1417.002 — Input Capture: GUI Input Capture (Credential Access)
- T1646 — Exfiltration Over C2 Channel (Exfiltration)
IOC
- IPv4 :
108.165.230.223— AbuseIPDB · VT · ThreatFox - Domaines :
protecaocartao.online— VT · URLhaus · ThreatFox - SHA1 :
48A0DE6A43FC6E49318AD6873EA63FE325200DBC— VT · MalwareBazaar - SHA1 :
A4F793539480677241EF312150E9C02E324C0AA2— VT · MalwareBazaar - SHA1 :
94AF94CA818697E1D99123F69965B11EAD9F010C— VT · MalwareBazaar - Fichiers :
PROTECAO_CARTAO.apk - Fichiers :
Rio_de_Prêmios_Pagamento.apk
Malware / Outils
- NGate (other)
- PhantomCard (other)
- NFU Pay (other)
- TX-NFC (other)
- NFCGate (tool)
🟢 Indice de vérification factuelle : 87/100 (haute)
- ✅ welivesecurity.com — source reconnue (liste interne) (20pts)
- ✅ 13898 chars — texte complet (fulltext extrait) (15pts)
- ✅ 7 IOCs dont des hashes (15pts)
- ✅ 2/2 IOCs confirmés (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (12pts)
- ✅ 3 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
108.165.230.223(ip) → VT (12/94 détections)protecaocartao.online(domain) → VT (16/94 détections)
🔗 Source originale : https://www.welivesecurity.com/en/eset-research/new-ngate-variant-hides-in-a-trojanized-nfc-payment-app/