Initialement documenté mi-2024, **NGate** est conçu pour dérober des informations de cartes de paiement via les capacités de communication en champ proche (NFC) d'un appareil mobile. Les données volées sont ensuite transmises à des attaquants, qui les utilisent pour créer des cartes virtuelles pour des achats non autorisés ou pour retirer de l'argent liquide à des distributeurs automatiques compatibles NFC. ### Évolution de NGate Les premières versions du malware exploitaient l'outil open-source **NFCGate** pour capturer, relayer et rejouer les informations de cartes de paiement. Cependant, de nouvelles recherches d'**ESET** ont découvert une variante qui infecte les utilisateurs via une version malveillante de l'application **HandyPay**. **HandyPay** est disponible sur Google Play depuis 2021 et prend en charge les transmissions de données basées sur la NFC entre appareils. Cette fonctionnalité est détournée par **NGate** pour exfiltrer des informations sensibles de cartes.  _Source : ESET_ **ESET** suggère que le passage de **NFCGate** à **HandyPay** est motivé par des considérations financières et des tactiques d'évasion. Les outils de relais NFC comme NFU Pay et TX-NFC sont coûteux et génèrent un bruit considérable sur les appareils infectés. "NFU Pay annonce son produit pour près de 400 USD par mois, tandis que TX-NFC coûte environ 500 USD par mois. HandyPay, en revanche, est considérablement moins cher, ne demandant qu'un don de 9,99 EUR par mois, si même cela", a expliqué **ESET**. "En plus du prix, HandyPay nativement ne nécessite aucune permission, seulement d'être désignée comme application de paiement par défaut, aidant ainsi les acteurs de la menace à éviter de susciter des soupçons." ### Ciblage et Distribution Depuis novembre 2025, cette dernière variante de **NGate** a principalement ciblé les appareils Android au Brésil. Les méthodes de distribution incluent : * **Fausse application :** Inciter les utilisateurs à télécharger une fausse application appelée "Proteção Cartão" (Protection Carte) hébergée sur une page Google Play contrefaite. * **Fausse loterie :** Orienter les utilisateurs via un site web de loterie frauduleux, où ils sont invités à réclamer un prix via WhatsApp, ce qui conduit finalement au téléchargement de l'APK malveillant.  _Source : ESET_ Une fois installée, l'application malveillante demande à être définie comme application de paiement NFC par défaut, invite les utilisateurs à saisir le code PIN de leur carte, et leur demande de rapprocher leur carte du téléphone pour la lecture. Les données collectées sont ensuite envoyées à une adresse e-mail contrôlée par l'attaquant, codée en dur dans l'application. .jpg) _Source : ESET_ ### Recommandations Il est conseillé aux utilisateurs Android de : * Éviter de télécharger des APK provenant de sources non fiables en dehors de Google Play. * Désactiver la NFC lorsqu'elle n'est pas utilisée. * Utiliser Play Protect pour rechercher des menaces ; il peut détecter et bloquer la dernière variante du malware **NGate**.