Originalmente documentado a mediados de 2024, **NGate** está diseñado para sustraer información de tarjetas de pago a través de las capacidades de comunicación de campo cercano (NFC) de un dispositivo móvil. Los datos robados se transmiten luego a los atacantes, quienes los utilizan para crear tarjetas virtuales para compras no autorizadas o para retirar efectivo de cajeros automáticos habilitados para NFC. ### Evolución de NGate Las primeras versiones del malware utilizaban la herramienta de código abierto **NFCGate** para capturar, retransmitir y reproducir información de tarjetas de pago. Sin embargo, una nueva investigación de **ESET** ha descubierto una variante que infecta a los usuarios a través de una versión maliciosa de la aplicación **HandyPay**. **HandyPay** ha estado disponible en Google Play desde 2021 y admite transmisiones de datos basadas en NFC entre dispositivos. Esta funcionalidad es abusada por **NGate** para exfiltrar información sensible de tarjetas.  _Fuente: ESET_ **ESET** sugiere que el cambio de **NFCGate** a **HandyPay** está impulsado por consideraciones financieras y tácticas de evasión. Las herramientas de retransmisión NFC como NFU Pay y TX-NFC son costosas y generan un ruido considerable en los dispositivos infectados. "NFU Pay anuncia su producto por casi US$400 al mes, mientras que TX-NFC cuesta alrededor de US$500 al mes. HandyPay, por otro lado, es significativamente más barato, solo pide la donación de €9.99 al mes, si es que eso", explicó **ESET**. "Además del precio, HandyPay de forma nativa no requiere ningún permiso, solo ser la aplicación de pago predeterminada, lo que ayuda a los actores de amenazas a evitar levantar sospechas". ### Ataques y Distribución Desde noviembre de 2025, esta última variante de **NGate** ha atacado principalmente a dispositivos Android en Brasil. Los métodos de distribución incluyen: * **Aplicación Falsa:** Atraer a los usuarios a descargar una aplicación falsa llamada “Proteção Cartão” (Protección de Tarjeta) alojada en una página falsa de Google Play. * **Lotería Falsa:** Dirigir a los usuarios a través de un sitio web de lotería falso, donde se les pide reclamar un premio a través de WhatsApp, lo que finalmente lleva a la descarga del APK malicioso.  _Fuente: ESET_ Una vez instalada, la aplicación maliciosa solicita ser configurada como la aplicación de pago NFC predeterminada, pide a los usuarios su PIN de tarjeta y les solicita que acerquen su tarjeta al teléfono para su lectura. Los datos recopilados se envían luego a una dirección de correo electrónico controlada por el atacante, codificada en la aplicación. .jpg) _Fuente: ESET_ ### Recomendaciones Se recomienda a los usuarios de Android: * Evitar descargar APKs de fuentes no confiables fuera de Google Play. * Desactivar NFC cuando no esté en uso. * Utilizar Play Protect para escanear en busca de amenazas; puede detectar y bloquear la última variante del malware **NGate**.