Campagne malveillante de NGate
Des analystes en cybersécurité ont identifié une nouvelle variante du malware Android NGate, qui exploite désormais une application légitime nommée HandyPay au lieu de NFCGate. Cette évolution révèle un changement de stratégie chez les attaquants, qui tirent parti d'outils de confiance pour accroître l'efficacité et la discrétion de leurs opérations malveillantes.
Les pirates ont modifié HandyPay, une application initialement conçue pour relayer les données NFC, en y injectant du code malveillant. Tout porte à croire que certaines parties de ce code pourraient avoir été générées par intelligence artificielle.
À l'instar des précédentes versions de NGate, cette application modifiée permet aux attaquants d'intercepter et de transférer les données NFC de la carte de paiement d'une victime vers un appareil sous leur contrôle. Ces données volées sont ensuite utilisées pour des retraits sans contact aux distributeurs automatiques et des transactions non autorisées.
En plus de l'interception de données, le logiciel malveillant est capable de capturer le code PIN de la carte de paiement de la victime et de le transmettre à un serveur de commande et de contrôle (C2) distant, augmentant considérablement le risque de compromission financière.
Table des matières
De NFSkate à RatOn : le manuel d’utilisation en expansion des logiciels malveillants
NGate, également connu sous le nom de NFSkate, a été révélé au public en août 2024 lorsque des chercheurs ont documenté sa capacité à mener des attaques par relais NFC visant à collecter des données de paiement sans contact à des fins frauduleuses. Au fil du temps, ses mécanismes de diffusion et ses tactiques opérationnelles ont évolué.
En 2025, une campagne connexe, baptisée RatOn, a introduit des applications malveillantes déguisées en versions pour adultes de TikTok. Ces applications trompeuses ont servi à déployer NGate et à exécuter des attaques par relais NFC, témoignant d'une sophistication croissante des techniques d'ingénierie sociale.
Le Brésil sous les projecteurs : une campagne ciblée se met en place
La dernière campagne NGate marque un tournant notable dans le ciblage géographique, privilégiant les utilisateurs brésiliens. Il s'agit du premier cas connu de ce logiciel malveillant conçu spécifiquement pour un public sud-américain.
Les méthodes de distribution reposent largement sur la tromperie. Les attaquants utilisent de faux sites web imitant Rio de Prêmios, une loterie associée à l'organisation de la loterie de l'État de Rio de Janeiro, ainsi que des pages frauduleuses sur le Google Play Store faisant la promotion d'une prétendue application de protection de carte. Ces canaux sont conçus pour inciter les utilisateurs à télécharger une version compromise de HandyPay.
Chaîne de transmission : comment les victimes sont manipulées
La séquence d'attaque repose sur une ingénierie sociale et une interaction avec l'utilisateur soigneusement orchestrées :
- Les victimes sont attirées par un faux site web de loterie et incitées à envoyer un message WhatsApp pour réclamer leurs gains.
- Les utilisateurs sont redirigés vers le téléchargement d'une version de HandyPay infectée par un cheval de Troie.
- L'application demande à être définie comme application de paiement par défaut lors de son installation.
- Les victimes sont invitées à saisir le code PIN de leur carte bancaire et à approcher leur carte de l'appareil.
- Les données NFC sont capturées et transmises en temps réel à un appareil contrôlé par un attaquant.
Une fois l'attaque exécutée, les pirates obtiennent la possibilité d'effectuer des retraits non autorisés aux distributeurs automatiques et des transactions de paiement en utilisant les identifiants volés.
Discrétion et stratégie : pourquoi HandyPay a été choisi
La campagne, qui aurait débuté vers novembre 2025, témoigne d'un changement délibéré d'outils. La version malveillante de HandyPay n'a jamais été distribuée via le Google Play Store officiel, confirmant que les attaquants s'appuient exclusivement sur des techniques de distribution trompeuses.
Plusieurs facteurs ont probablement influencé la décision d'utiliser HandyPay à des fins malveillantes. Son coût d'abonnement, inférieur à celui d'autres solutions (souvent supérieur à 400 dollars par mois), en fait un choix économique pour les cybercriminels. De plus, l'application ne requiert aucune autorisation particulière ; il suffit de la définir comme application de paiement par défaut. Cela réduit les soupçons et augmente les chances de réussite de l'installation.
HandyPay a lancé une enquête interne suite aux abus constatés sur sa plateforme.
L’IA dans le développement de logiciels malveillants : une préoccupation croissante
L'analyse technique du logiciel malveillant a révélé des éléments inhabituels, notamment la présence d'émojis dans les messages de débogage et système. Cette anomalie suggère l'implication possible de modèles de langage complexes dans la génération ou la modification du code malveillant.
Bien que l'attribution définitive à l'IA reste à confirmer, ces résultats s'inscrivent dans une tendance plus large du secteur, où les cybercriminels exploitent de plus en plus l'intelligence artificielle générative pour simplifier le développement de logiciels malveillants. Cela abaisse les barrières à l'entrée, permettant à des personnes ayant des compétences techniques limitées de créer des menaces sophistiquées.
Évolution des menaces : la fraude NFC est en hausse
L'apparition de cette nouvelle variante de NGate souligne une tendance croissante à la fraude financière via NFC. Plutôt que de s'appuyer sur des outils établis tels que NFCGate ou les plateformes de logiciels malveillants en tant que service (MaaS), les attaquants détournent désormais des applications légitimes dotées de fonctionnalités NFC intégrées.
Cette approche améliore à la fois l'efficacité opérationnelle et les capacités d'évasion, ce qui témoigne d'une évolution inquiétante des tactiques de menace mobile et renforce la nécessité d'une vigilance accrue en matière de sécurité des paiements mobiles.
