Stačí přiblížit telefon a přijdete o peníze i PIN
Podle bezpečnostního experta Lukáše Štefanka ze společnosti ESET si útočníci vzali původní aplikaci určenou pro přenos NFC dat a „vylepšili“ ji o škodlivé funkce. Část kódu údajně nese znaky toho, že mohl být vytvořen pomocí umělé inteligence. Výsledek? Malware dokáže přenášet data z platební karty oběti do zařízení útočníka, který je pak může zneužít například k bezkontaktním výběrům z bankomatů nebo k neautorizovaným platbám.
Tím to ale nekončí. Škodlivý kód umí také zachytit PIN k platební kartě a odeslat ho na server ovládaný útočníky.
NGate (někdy označovaný jako NFSkate) se poprvé objevil už v srpnu 2024. Tehdy odborníci popsali jeho schopnost provádět tzv. relay útoky – tedy přeposílat bezkontaktní platební data a zneužívat je k podvodům. O rok později se objevila další varianta nazvaná RatOn, která se šířila přes falešné aplikace vydávající se za „dospělejší“ verze TikToku.
Zdroj: SHVETS production / Pexels.com
Falešná aplikace krade data z platebních karet přes NFC
Nejnovější kampaň, kterou ESET zachytil, míří hlavně na uživatele v Brazílii – vůbec poprvé se tak tento malware zaměřil konkrétně na jihoamerickou zemi. Upravená verze HandyPay se šíří přes podvodné weby, které se tváří jako loterie Rio de Prêmios, nebo přes falešnou stránku v Google Play, která se vydává za aplikaci na ochranu platební karty.
Scénář je přitom docela promyšlený. Falešný web láká uživatele na výhru a vyzve je, aby si o ni požádali přes WhatsApp. Odtud už je jen krok ke stažení nakažené aplikace, maskované za aplikaci určenou k mobilním platbám. Po instalaci je uživatel vyzván, aby si ji nastavil jako výchozí platební metodu.
Pak přichází klíčový moment: aplikace požádá o zadání kódu PIN a o přiložení platební karty k telefonu. V tu chvíli malware zachytí NFC data a přepošle je útočníkovi, který je může okamžitě zneužít – třeba k výběru hotovosti z bankomatu.
Mohlo by vás zajímat
K podvodu nejspíš přispěla i umělá inteligence
Podvodná kampaň podle všeho běží už od listopadu 2025. Důležité je, že škodlivá verze HandyPay se nikdy neobjevila přímo v Google Play – útočníci spoléhají čistě na podvodné stránky a sociální inženýrství. Samotná společnost HandyPay už incident interně vyšetřuje.
Zajímavý detail: jedním z důvodů, proč útočníci přešli právě na HandyPay, může být jeho nižší cena ve srovnání s jinými nástroji, které stojí i přes 400 dolarů měsíčně. Navíc aplikace nevyžaduje žádná speciální oprávnění – stačí ji nastavit jako výchozí pro placení, což pomáhá nevzbuzovat podezření.
Mohlo by vás zajímat
Analýza kódu navíc odhalila přítomnost emoji v ladicích protokolech, což naznačuje, že při jeho tvorbě mohl být použit jazykový model umělé inteligence. I když to nejde stoprocentně potvrdit, zapadá to do širšího trendu. Kyberzločinci čím dál častěji využívají generativní AI k tvorbě malwaru, a to i bez hlubších technických znalostí.
Celkově to ukazuje na nepříjemný trend: podvody přes NFC jsou na vzestupu. A tentokrát útočníci místo hotového řešení raději upravili existující aplikaci, která už sama o sobě umožňuje rádiový přenos dat. Útok jejím prostřednictvím je tak ještě nenápadnější.
Zdroj: Welivesecurity.com, The Hacker News
video
