Eine neue NGate-Malware-Variante nutzt manipulierte Zahlungs-Apps, um Kreditkartendaten zu stehlen. Besonders betroffen sind Nutzer in Brasilien, aber die Warnung gilt weltweit. So steht auch Deutschland im Fokus.
Seit November 2025 setzen Angreifende eine neue Variante der NGate-Malware ein. Sicherheitsforscher von ESET identifizierten einen Angriff, der Android-Nutzerende zunächst gezielt in Brasilien ins Visier nahm, inzwischen aber weltweit aktiv zu sein scheint. Das Ziel: Kontaktloses Abheben von Bargeld an Geldautomaten und unbefugte Zahlungen.
Ein Trojaner in einer seriösen App?
Die Kriminellen haben die legitime App „HandyPay“ manipuliert. Diese echte Anwendung erlaubt es Nutzern, NFC-Kartendaten zwischen Geräten zu teilen – etwa für Familienmitglieder. Die Angreifer haben diese App mit schädlichem Code infiziert und als eigenständiges Paket außerhalb des offiziellen Stores verbreitet. Beworben wird die manipulierte App z. B. in SocialMedia oder via Phishing über verschiedene Kanäle, z. B. auch über gefakte Websites. Dabei wird die Gier nach Geld ausgenutzt. Gewinne einer falschen Lotterie gibt es nur, wenn die manipulierte App zuvor installiert wurde…
Schutzmöglichkeiten:
Verwenden Sie das Sideloading einer App nur, wenn Sie den Herausgebenden vollumfänglich vertrauen und wissen, was Sie tun. Ohne Ihre Mitwirkung wird die manipulierte App nicht aktiv, da Sie das Sideloading aus externen Quellen aktiv erlauben müssen. Seien Sie wachsam, wenn eine App als Standard-App eingetragen werden will.
Deaktivieren Sie NFC, wenn es nicht gebraucht wird.
Halten Sie Ihr System aktuell!
So läuft der Angriff:
- Die manipulierte App bittet, als „Standard-Zahlungs-App“ eingestellt zu werden.
- Nutzende halten die Kreditkarte ans Handy und geben die PIN ein.
- Kartendaten werden an die Kriminellen weitergeleitet, die PIN separat an deren Server gesendet.
- Täter:innen können nun Bargeld abheben oder online einkaufen.
In den Protokollen der Malware fand ESET Emojis, die typisch für KI-generierte Texte seien. Das deute darauf hin, dass Angreifende KI-Tools nutzten, um ihre Schadsoftware schneller zu programmieren – auch ohne tiefere Programmierkenntnisse.
[https://www.welivesecurity.com/en/eset-research/new-ngate-variant-hides-in-a-trojanized-nfc-payment-app/]