Mã độc NGate trên Android lạm dụng công cụ HandyPay để đánh cắp dữ liệu thẻ NFC

NGate được ghi nhận lần đầu vào giữa năm 2024 và đánh cắp thông tin thẻ thanh toán thông qua chip NFC trên thiết bị di động. Dữ liệu được gửi đến kẻ tấn công, chúng sẽ tạo ra các thẻ ảo được sử dụng để mua hàng trái phép hoặc rút tiền mặt từ máy ATM có hỗ trợ NFC.

Trong các phiên bản trước đó, phần mềm độc hại này sử dụng một công cụ mã nguồn mở có tên NFCGate để thu thập, chuyển tiếp và phát lại thông tin thẻ thanh toán. Nghiên cứu mới đây từ công ty an ninh mạng ESET đã chỉ rõ một biến thể mới sử dụng phiên bản ứng dụng HandyPay, được cài đặt mã độc để thực hiện các hoạt động đánh cắp dữ liệu.

Các nhà nghiên cứu phát hiện ra rằng code trong phần mềm độc hại NGate mới chứa các biểu tượng cảm xúc, điều này có thể cho thấy việc sử dụng công cụ trí tuệ nhân tạo (AI) tạo sinh trong quá trình phát triển.
​

Đoạn code độc hại

Ứng dụng HandyPay thực tế đã có mặt trên Google Play từ năm 2021 và hỗ trợ truyền dữ liệu dựa trên NFC giữa các thiết bị, một tính năng mà NGate đã lợi dụng để đánh cắp thông tin thẻ.

ESET nhận định lý do đằng sau việc chuyển từ NFCGate sang HandyPay có thể là do vấn đề tài chính, nhưng việc né tránh phát hiện cũng đóng vai trò quan trọng. Các nhà nghiên cứu nhấn mạnh chi phí cao của các công cụ chuyển tiếp NFC như NFU Pay và TX-NFC, thực tế là chúng tạo ra nhiều tín hiệu nhiễu trên các thiết bị bị lây nhiễm.

“NFU Pay quảng cáo sản phẩm của mình với giá gần 400 USD mỗi tháng, trong khi TX-NFC có giá khoảng 500 USD. Mặt khác, HandyPay rẻ hơn đáng kể, chỉ yêu cầu khoản quyên góp 9,99 Euro mỗi tháng, thậm chí còn ít hơn. Bên cạnh đó, HandyPay về cơ bản không yêu cầu bất kỳ quyền nào, chỉ cần được thiết lập làm ứng dụng thanh toán mặc định, giúp các đối tượng xấu tránh gây nghi ngờ”, ESET giải thích.

Về mặt mục tiêu, ESET báo cáo chiến dịch sử dụng biến thể mới nhất này đã hoạt động từ tháng 11/2025, chủ yếu nhắm vào người dùng Android tại Brazil. Theo các nhà nghiên cứu, chiến dịch này dựa vào hai phương thức phân phối. Một là dụ dỗ người dùng tải xuống một ứng dụng giả mạo có tên “Proteção Cartão”, một ứng dụng hứa hẹn các tính năng bảo vệ thẻ và được lưu trữ trên một trang Google Play giả mạo.

Phương pháp thứ hai sử dụng một trang web xổ số giả mạo, nơi người truy cập “trúng thưởng” và được chuyển hướng đến WhatsApp để nhận giải, điều này cuối cùng dẫn đến việc tải xuống tệp APK độc hại.
​

Phương pháp phân phối phần mềm độc hại

Sau khi cài đặt, ứng dụng sẽ yêu cầu người dùng thiết lập nó làm ứng dụng thanh toán NFC mặc định, yêu cầu nhập mã PIN thẻ và đề nghị họ chạm thẻ vào điện thoại để quét. Tất cả thông tin thu thập được theo cách thức này sẽ được gửi đến địa chỉ email của kẻ tấn công - địa chỉ này đã được mã hóa sẵn trong ứng dụng. 
​

Luồng đánh cắp dữ liệu

 Người dùng Android được khuyến cáo không nên tải xuống các tệp APK từ bên ngoài Google Play, trừ khi họ hoàn toàn tin tưởng nhà phát hành. Bên cạnh đó, cần lưu ý vô hiệu hóa NFC nếu không cần thiết và quét tìm mối đe dọa bằng Google Play Protect - ứng dụng phát hiện và chặn biến thể phần mềm độc hại NGate mới nhất.
​Hồng Đạt