Ursprünglich Mitte 2024 dokumentiert, ist **NGate** darauf ausgelegt, Zahlungskartendaten über die Near-Field-Communication (NFC)-Fähigkeiten eines Mobilgeräts zu entwenden. Die gestohlenen Daten werden dann an Angreifer übermittelt, die sie zum Erstellen virtueller Karten für unbefugte Einkäufe oder zum Abheben von Bargeld an NFC-fähigen Geldautomaten verwenden. ### Entwicklung von NGate Frühe Versionen der Malware nutzten das Open-Source-Tool **NFCGate**, um Zahlungskartendaten zu erfassen, weiterzuleiten und erneut abzuspielen. Neue Forschungen von **ESET** haben jedoch eine Variante aufgedeckt, die Benutzer über eine bösartige Version der **HandyPay**-App infiziert. **HandyPay** ist seit 2021 auf Google Play verfügbar und unterstützt NFC-basierte Datenübertragungen zwischen Geräten. Diese Funktionalität wird von **NGate** missbraucht, um sensible Kartendaten zu exfiltrieren.  _Quelle: ESET_ **ESET** vermutet, dass der Wechsel von **NFCGate** zu **HandyPay** auf finanzielle Erwägungen und Ausweichtaktiken zurückzuführen ist. NFC-Weiterleitungstools wie NFU Pay und TX-NFC sind kostspielig und erzeugen erhebliche Geräusche auf infizierten Geräten. "NFU Pay bewirbt sein Produkt für fast 400 US-Dollar pro Monat, während TX-NFC etwa 500 US-Dollar pro Monat kostet. HandyPay hingegen ist deutlich günstiger und verlangt nur die monatliche Spende von 9,99 €, wenn überhaupt", erklärte **ESET**. "Zusätzlich zum Preis erfordert HandyPay nativ keine Berechtigungen, außer dass es zur Standard-Zahlungs-App gemacht wird, was den Bedrohungsakteuren hilft, keinen Verdacht zu erregen." ### Zielgruppen und Verbreitung Seit November 2025 zielt diese neueste **NGate**-Variante hauptsächlich auf Android-Geräte in Brasilien ab. Die Verbreitungsmethoden umfassen: * **Fake-App:** Benutzer werden dazu verleitet, eine gefälschte App namens „Proteção Cartão“ (Kartenschutz) herunterzuladen, die auf einer gefälschten Google Play-Seite gehostet wird. * **Fake-Lotterie:** Benutzer werden über eine gefälschte Lotterie-Website geleitet, auf der sie aufgefordert werden, einen Preis über WhatsApp zu beanspruchen, was letztendlich zum Download der bösartigen APK führt.  _Quelle: ESET_ Nach der Installation fordert die bösartige App auf, sie als Standard-NFC-Zahlungsanwendung festzulegen, fordert Benutzer zur Eingabe ihrer Karten-PIN auf und bittet sie, ihre Karte zum Lesen auf das Telefon zu tippen. Die gesammelten Daten werden dann an eine vom Angreifer kontrollierte E-Mail-Adresse gesendet, die fest in die App einprogrammiert ist. .jpg) _Quelle: ESET_ ### Empfehlungen Android-Benutzern wird geraten: * Vermeiden Sie das Herunterladen von APKs aus nicht vertrauenswürdigen Quellen außerhalb von Google Play. * Deaktivieren Sie NFC, wenn es nicht verwendet wird. * Nutzen Sie Play Protect zum Scannen nach Bedrohungen; es kann die neueste **NGate**-Malware-Variante erkennen und blockieren.