【安全资讯】NGate安卓恶意软件利用HandyPay NFC应用窃取支付卡数据

概要：

在移动支付日益普及的今天，针对支付安全的威胁也层出不穷。近期，网络安全研究人员发现了一种新型的NGate安卓恶意软件变种，它通过伪装成合法的HandyPay NFC支付应用，专门窃取用户的支付卡信息，对金融安全构成严重威胁。

主要内容：

ESET的研究人员详细披露了这款新的NGate恶意软件变种。该恶意软件的核心攻击手法是，将恶意代码注入到一款名为HandyPay的合法NFC支付处理应用中，从而创建一个木马化的版本。一旦用户安装并设置该应用为默认支付应用，恶意软件便会诱导用户输入银行卡PIN码，并通过手机的NFC芯片读取实体卡片信息。

此次攻击的技术演进在于，恶意软件开发者放弃了之前使用的开源工具NFCGate，转而利用HandyPay。这一转变主要出于成本和隐蔽性的双重考虑。商业化的NFC中继工具如NFU Pay和TX-NFC不仅每月费用高达数百美元，且在受感染设备上活动“噪音”较大。而HandyPay本身价格低廉，且作为支付应用，其请求默认支付权限的行为不易引起用户怀疑。

该恶意活动自2025年11月起活跃，主要针对巴西的安卓用户。攻击者通过两种主要渠道进行分发：一是伪造一个名为“Proteção Cartão”的虚假应用，并架设仿冒的Google Play页面；二是通过虚假的彩票中奖网站，诱导用户通过WhatsApp联系领奖，最终引导其下载恶意APK文件。所有窃取到的支付卡数据都会被发送到硬编码在应用内的攻击者邮箱。

此次事件凸显了通过非官方渠道下载应用的风险。专家建议用户仅从官方应用商店下载应用，在不使用时关闭NFC功能，并启用Google Play Protect进行安全扫描，以防范此类威胁。