forschung

AUSSENDER



ESET Deutschland GmbH
Ansprechpartner: Michael Klatte
Tel.: +49 (0) 3641-3114-257
E-Mail: michael.klatte@eset.de
Pressefach (913)

FRüHERE MELDUNGEN

09.04.2026 - 09:45 | ESET Deutschland GmbH
Cybersicherheit im Gesundheitswesen: Kliniken geraten zunehmend unter Druck
31.03.2026 - 13:15 | ESET Deutschland GmbH
Cyberangriff auf EU-Kommission: Wer sind die Täter?
27.03.2026 - 09:10 | ESET Deutschland GmbH
ESET erhält Intel vPro Certified App Status-Zertifizierung
25.03.2026 - 09:15 | ESET Deutschland GmbH
Neue ESET Reports analysieren Ransomware- und Infostealer-Angriffe
23.03.2026 - 16:05 | ESET Deutschland GmbH
ESET erweitert Cybersicherheit für die Cloud in Unternehmen
alle Meldungen

FORSCHUNG

22.04.2026 - 13:59 | pressetext.redaktion
YouTube rollt Deepfake-Erkennung weiter aus
22.04.2026 - 11:30 | pressetext.redaktion
Hochstabiler Biokunststoff zersetzt sich selbst
22.04.2026 - 06:15 | pressetext.redaktion
Erdöl-Ersatz mithilfe von Biomüll ermöglicht
22.04.2026 - 06:05 | pressetext.redaktion
KI bekämpft Angst besser als Gruppentherapie
21.04.2026 - 13:59 | pressetext.redaktion
Fast 50 Apps auf jedem Smartphone installiert
alle Forschung-News
pts20260422029 in Forschung

ESET Research: Neue NGate-Variante versteckt sich in Bezahl-App für Android

App verbreitet sich über gefälschte Gewinnspiel- und Google-Play-Seite


Jena (pts029/22.04.2026/14:30)

Bezahlen über das Smartphone ist sehr beliebt. Das wissen auch Cyberkriminelle. Die Forscher des europäischen IT-Sicherheitsherstellers ESET haben nun eine neue Variante der Malware-Familie NGate entdeckt, die Zahlungsdaten direkt vom Smartphone abgreift. Die Angreifer verstecken den Schadcode in der legitimen Android-App HandyPay und nutzen sie, um NFC-Daten von Zahlungskarten sowie PINs zu stehlen. Die gestohlenen Informationen ermöglichen kontaktlose Abhebungen an Geldautomaten und unautorisierte Zahlungen. Im Fokus der aktuellen Kampagne stehen vor allem Nutzer in Brasilien. Gleichzeitig beobachten die Forscher, dass sich NFC-basierte Angriffe zunehmend auch in andere Regionen ausbreiten. Deutschland gehört dabei zu den am häufigsten betroffenen Ländern.

ESET beobachtet deren Aktivitäten bereits seit dem Januar 2025. Hotspots der Aktivitäten sind neben Brasilien Russland, Rumänien und Deutschland. Über 18 Prozent aller Erkennungen dieser Familie waren in Deutschland. "Derzeit lassen sich in den betroffenen Apps keine deutschlandspezifischen Motive in den NGate-Kampagnen feststellen. Eine solche Ausrichtung beobachten wir nur bei Kampagnen in anderen Sprachen, beispielsweise bei russischsprachigen Kampagnen mit Bezug zu russischen Bankthemen. Dies deutet darauf hin, dass die wahrscheinlichen Ziele in Deutschland nicht deutsche Nutzer sind. Eine weitere mögliche Erklärung ist das Vorhandensein von Testgeräten, die sich in Deutschland befinden", erklärt ESET-Forscher Lukas Stefanko, der die neue NGate-Variante entdeckt hat. "Es ist aber nicht auszuschließen, dass die Gruppe ihre Aktivitäten gezielt auch auf Deutschland ausweitet."

KI-Tools haben bei Erstellung der Malware

Der Schadcode, mit dem HandyPay kompromittiert wurde, weist mehrere Hinweise auf den Einsatz von KI-Tools auf. So enthalten die Malware-Logs ein Emoji, das typischerweise in KI-generierten Texten vorkommt. Das legt nahe, dass große Sprachmodelle bei der Erstellung oder Anpassung des Codes eingesetzt wurden. Auch wenn sich der Einsatz von KI nicht abschließend belegen lässt, passt der Fund in ein klares Muster. Generative KI senkt die Einstiegshürden für Cyberkriminelle und ermöglicht es auch weniger erfahrenen Angreifern, funktionierende Schadsoftware zu entwickeln.

Kampagne der Kriminellen läuft seit November 2025

Nach Einschätzung von ESET Research läuft die Kampagne mit der manipulierten HandyPay-App seit etwa November 2025 und ist weiterhin aktiv. Wichtig dabei: Die schädliche Version von HandyPay war nie im offiziellen Google Play Store verfügbar. Als Partner der App Defense Alliance hat ESET Google über die Erkenntnisse informiert. Zudem wurden die Entwickler von HandyPay über den Missbrauch ihrer Anwendung in Kenntnis gesetzt.

Die erste neue NGate-Probe wurde über eine Website verbreitet, die sich als "Rio de Prêmios", eine Lotterie der staatlichen Lotterieorganisation von Rio de Janeiro (Loterj), ausgibt. Die zweite Probe stammt von einer gefälschten Google-Play-Webseite, auf der die App unter dem Namen "Proteção Cartão" angeboten wurde Beide Seiten waren auf derselben Domain gehostet, was stark auf einen einzelnen Akteur hindeutet.

Die Malware nutzt den HandyPay-Dienst, um NFC-Daten von Zahlungskarten an ein Gerät unter Kontrolle der Angreifer weiterzuleiten. Neben der Weitergabe der NFC-Daten stiehlt der Schadcode auch die PINs der Zahlungskarten. Dadurch können die Täter Bargeld an Geldautomaten abheben.

Mit der steigenden Zahl von NFC-basierten Angriffen ist auch das unterstützende Ökosystem gewachsen. Die ersten NGate-Angriffe nutzten noch das Open-Source-Tool NFCGate zur Übertragung der NFC-Daten. Inzwischen sind mehrere Malware‑as‑a‑Service-Angebote mit ähnlichen Funktionen auf dem Markt. In der aktuellen Kampagne entschieden sich die Angreifer jedoch für einen anderen Weg und entwickelten eine eigene Lösung, indem sie eine bestehende App manipulierten.

Eine detaillierte technische Analyse der neuen NGate-Variante finden Sie im aktuellen Blogbeitrag auf WeLiveSecurity: www.welivesecurity.com/en/eset-research/new-ngate-variant-hides-in-a-trojanized-nfc-payment-app

(Ende)
Aussender: ESET Deutschland GmbH
Ansprechpartner: Michael Klatte
Tel.: +49 (0) 3641-3114-257
E-Mail: michael.klatte@eset.de
Website: www.eset.de
|
Top