Les attaquants exploitent une application Android NFC modifiée pour voler les données des cartes de paiement et les codes PIN à des fins de fraude sans contact et de retraits aux distributeurs automatiques.
Les cybercriminels exploitent une application de paiement Android trojanisée pour voler des données de communication en champ proche (NFC) et des codes PIN, permettant ainsi le clonage des cartes de paiement et la vidange des comptes des victimes.
Selon les chercheurs d’ESET, une nouvelle variante du malware NGate a été intégrée à l’application de relais HandyPay NFC pour transférer les données NFC vers l’appareil de l’attaquant et l’utiliser pour des retraits sans contact aux distributeurs automatiques.
L’utilisation de l’IA est suspectée dans la campagne. « Pour pirater HandyPay, les acteurs malveillants ont très probablement utilisé GenAI, indiqué par les emoji laissés dans les journaux qui sont typiques du texte généré par l’IA », ont déclaré les chercheurs dans un article de blog.
La campagne a distribué deux échantillons de logiciels malveillants, via un faux site Web de loterie et un faux site Web Google Play, lors d’attaques ciblant les utilisateurs d’Android au Brésil depuis novembre 2025.
Application légitime qui fait le sale boulot
Les chercheurs d’ESET ont souligné que la campagne marque le passage des opérateurs NGate d’un outil personnalisé à une application légitime sous forme de cheval de Troie. HandyPay, initialement conçu pour relayer les données NFC entre appareils, est utilisé pour nécessiter des autorisations minimales et s’intégrer dans les flux de paiement attendus.
Cette approche évite de créer des outils personnalisés à partir de zéro, comme cela a déjà été le cas avec l’abus NFCGate, et ajoute à la place du code malveillant dans une application compatible NFC existante. En réutilisant une application de relais NFC, les attaquants héritent d’une fonctionnalité qui gère déjà l’échange de données de base, ont noté les chercheurs.
Une application de relais NFC est un outil qui capture la communication sans contact d’une carte ou d’un appareil et la transmet en temps réel à un autre appareil, étendant ainsi le signal de communication en champ proche à courte portée sur un réseau pour une utilisation à distance.
Étant donné que l’application fonctionne selon les flux de travail NFC attendus, il est plus facile pour les attaquants de masquer l’attaque.
Les canaux de distribution incluent un faux site de loterie se faisant passer pour le « Rio de Premios » du Brésil et une fausse page Google Play faisant la publicité d’un outil de « protection des cartes ».
L’IA a probablement été utilisée
Les chercheurs d’ESET ont également repéré quelque chose d’inhabituel dans les composants internes du malware. Certaines traces suggèrent que l’IA générative aurait pu jouer un rôle dans son développement.
Plus précisément, le code malveillant injecté contient des marqueurs emoji dans les journaux de débogage, ce qui est plus communément associé aux résultats générés par l’IA qu’aux logiciels malveillants écrits par l’homme. Les chercheurs ont noté que cela ne constitue pas une preuve définitive, mais qu’il s’aligne sur une tendance plus large d’attaquants utilisant de grands modèles de langage pour accélérer la création de logiciels malveillants.
Android dispose actuellement d’une certaine protection contre ce vecteur d’attaque sous la forme d’alertes de sécurité. « La victime doit installer manuellement une version trojanisée de HandyPay, puisque l’application n’est disponible qu’en dehors de Google Play », ont indiqué les chercheurs. « Lorsqu’un utilisateur appuie sur le bouton de téléchargement de l’application dans son navigateur, Android bloque automatiquement l’installation et affiche une invite lui demandant d’autoriser l’installation à partir de cette source. »
Pour que l’attaque réussisse, l’utilisateur doit ensuite appuyer sur Paramètres dans l’invite, activer « Autoriser à partir de cette source » et revenir à l’installation de l’application, un processus assez courant avec l’installation d’applications tierces de nos jours. Rien de particulièrement suspect ne ressort dans le workflow « autoriser le téléchargement » pour se protéger contre cette menace.
ESET a partagé une liste d’indicateurs dans un référentiel GitHub dédié, qui comprenait des fichiers, des hachages, des indicateurs de réseau et des cartes MITRE ATT&CK pour soutenir les efforts de détection.
