Специалисты компании ESET обнаружили свежую волну атак вредоносного ПО для Android под названием NGate. Теперь оно маскируется под обычное приложение HandyPay.
Кампания активизировалась еще в ноябре 2025 года. Жертв заманивают на поддельные сайты, которые идеально имитируют Google Play. Затем им предлагают «официальную» версию HandyPay, в которую уже встроен троян.
После установки программа требует установить себя как платежное средство по умолчанию. Затем пользователя уговаривают ввести PIN-код от банковской карты и поднести ее к телефону с активированным NFC. В этот момент вредонос перехватывает данные карты по NFC и переправляет их хакерам. В итоге мошенники обретают все необходимое для бесконтактного обнала в банкоматах или кражи денег через платежи.
Это развитие семейства NGate, которое ESET впервые детально разобрал в августе 2024 года. Новая версия отличается тем, что хакеры задействовали HandyPay с уже встроенной релейной передачей NFC-данных. По мнению ESET, такой подход удешевляет атаки и делает их незаметнее.
Исследователи также нашли эмодзи в отладочных и системных строках кода. Это говорит о возможном применении генеративного ИИ в создании или доработке malware.
Тем временем в российских соцсетях появились фишинговые сайты, заманивающие людей темой автокатастроф для распространения вирусов и кражи персональных данных. Об этом «Газете.Ru» сообщили в пресс-службе «Солар» со ссылкой на мониторинг угроз Solar AURA.
