Originalmente documentado em meados de 2024, o **NGate** foi projetado para roubar informações de cartões de pagamento através das capacidades de comunicação por campo de proximidade (NFC) de um dispositivo móvel. Os dados roubados são então transmitidos para os atacantes, que os utilizam para criar cartões virtuais para compras não autorizadas ou para sacar dinheiro em caixas eletrônicos habilitados para NFC. ### Evolução do NGate Versões anteriores do malware utilizavam a ferramenta de código aberto **NFCGate** para capturar, retransmitir e reproduzir informações de cartões de pagamento. No entanto, novas pesquisas da **ESET** descobriram uma variante que infecta usuários através de uma versão maliciosa do aplicativo **HandyPay**. O **HandyPay** está disponível no Google Play desde 2021 e suporta transmissões de dados baseadas em NFC entre dispositivos. Essa funcionalidade é abusada pelo **NGate** para exfiltrar informações sensíveis de cartões.  _Fonte: ESET_ A **ESET** sugere que a mudança do **NFCGate** para o **HandyPay** é impulsionada por considerações financeiras e táticas de evasão. Ferramentas de retransmissão NFC como NFU Pay e TX-NFC são caras e geram ruído considerável em dispositivos infectados. "O NFU Pay anuncia seu produto por quase US$400 por mês, enquanto o TX-NFC custa cerca de US$500 por mês. O HandyPay, por outro lado, é significativamente mais barato, pedindo apenas a doação de €9,99 por mês, se é que pede", explicou a **ESET**. "Além do preço, o HandyPay nativamente não requer nenhuma permissão, apenas ser o aplicativo de pagamento padrão, ajudando os atores de ameaças a evitar levantar suspeitas." ### Alvo e Distribuição Desde novembro de 2025, esta última variante do **NGate** tem visado principalmente dispositivos Android no Brasil. Os métodos de distribuição incluem: * **App Falso:** Atrair usuários para baixar um aplicativo falso chamado “Proteção Cartão” hospedado em uma página falsa do Google Play. * **Loteria Falsa:** Direcionar usuários através de um site de loteria falso, onde são solicitados a reivindicar um prêmio via WhatsApp, levando eventualmente ao download do APK malicioso.  _Fonte: ESET_ Uma vez instalado, o aplicativo malicioso solicita ser definido como o aplicativo de pagamento NFC padrão, pede aos usuários o PIN do cartão e solicita que aproximem o cartão do telefone para leitura. Os dados coletados são então enviados para um endereço de e-mail controlado pelo atacante, codificado no aplicativo. .jpg) _Fonte: ESET_ ### Recomendações Usuários de Android são aconselhados a: * Evitar baixar APKs de fontes não confiáveis fora do Google Play. * Desativar o NFC quando não estiver em uso. * Utilizar o Play Protect para escanear ameaças; ele pode detectar e bloquear a última variante do malware **NGate**.