Saugumo ekspertai perspėja apie naują „Android“ kenkėjiškos programos NGate versiją, kuri apsimeta NFC mokėjimų įrankiu ir piktnaudžiauja „HandyPay“ vardu. Ji gali perimti mokėjimo kortelės NFC duomenis ir PIN kodą, o nusikaltėliai šią informaciją panaudoja bekontakčiams mokėjimams ar pinigų išėmimui iš bankomato. Svarbiausia detalė: pavojinga versija platinama ne per oficialią „Google Play“, o per netikras svetaines.
Kaip veikia NGate schema
Įprastai žmogus galvoja, kad kortelės duomenys pavagiami tada, kai juos suveda į netikrą banko puslapį. NGate veikia gudriau. Ši kenkėjiška programa išnaudoja NFC technologiją – tą pačią, kuri leidžia priglausti kortelę ar telefoną prie terminalo ir atsiskaityti bekontakčiu būdu.
ESET tyrėjai nustatė naują NGate variantą, kuris piktnaudžiauja teisėtos „HandyPay“ programėlės vardu. Nusikaltėliai sukuria trojanizuotą, t. y. kenkėjiškai pakeistą, programėlės versiją ir platina ją per netikrus puslapius. Vartotojui gali atrodyti, kad jis diegia mokėjimo ar patvirtinimo įrankį, bet iš tikrųjų į telefoną patenka programa, galinti nuskaityti NFC duomenis ir PIN kodą.
Tokios atakos esmė – perkelti kortelės duomenis į nusikaltėlio įrenginį. Jei auka priglaudžia kortelę prie telefono ir dar suveda PIN kodą, užpuolikai gali bandyti atlikti operacijas taip, tarsi kortelė būtų pas juos. Ankstesnė NGate kampanija 2024 m. buvo pastebėta Čekijoje, kur NFC duomenys buvo perduodami į nusikaltėlio telefoną prie bankomato.
Kodėl pavojus atrodo įtikinamas
Tokios programėlės pavojingos ne vien dėl technikos, bet ir dėl psichologijos. Žmogui gali būti parodytas puslapis, panašus į oficialų atsisiuntimą, mokėjimų paslaugą, loteriją ar banko veiksmą. Jei dizainas atrodo patikimai, daugelis nesusimąsto, kad programėlė atsisiunčiama ne iš oficialios parduotuvės.
Naujausia ESET aprašyta kampanija nuo 2025 m. lapkričio taikėsi į „Android“ vartotojus Brazilijoje, o kenkėjiška „HandyPay“ versija buvo platinama per netikrą Brazilijos loterijos svetainę ir suklastotą „Google Play“ puslapį. Tai svarbu: pati teisėta programėlė ir oficiali parduotuvė nėra tas pats, kas suklastotas atsisiuntimo puslapis.
Kai kurios publikacijos mini ir galimą grėsmės plitimą už Brazilijos ribų. Vis dėlto pagal ESET viešai paskelbtą tyrimą dabartinė aktyvi kampanija pirmiausia nukreipta į Brazilijos vartotojus. Tai nereiškia, kad Europoje galima atsipalaiduoti – tokie metodai greitai kopijuojami ir pritaikomi kitoms šalims.
Ką daryti, jei telefone turite įtartiną mokėjimų programėlę
Pirmiausia patikrinkite, iš kur ji įdiegta. Jei programėlę atsisiuntėte ne iš „Google Play“, o iš nuorodos SMS žinutėje, el. laiške, reklamoje, socialiniuose tinkluose ar nepažįstamoje svetainėje, tai rimtas pavojaus ženklas.
Jei telefone yra įtartina „HandyPay“, NFC mokėjimų, banko „atnaujinimo“ ar kita finansinė programėlė, kurios patys aiškiai neatsimenate diegę iš oficialaus šaltinio, ją reikėtų pašalinti. Po to verta patikrinti banko operacijas ir, jei matote bent vieną neaiškų mokėjimą, iškart kreiptis į banką.
Taip pat verta išjungti NFC, kai jo nenaudojate. Tai nėra absoliuti apsauga nuo visų apgavysčių, bet sumažina nereikalingą riziką. Ypač svarbu niekada nepriglausti mokėjimo kortelės prie telefono vien todėl, kad to prašo nežinoma programėlė ar tariamas „banko patvirtinimas“.
Jei jau suvedėte kortelės PIN kodą į įtartiną programėlę, elkitės taip, lyg kodas būtų pavogtas: susisiekite su banku, užblokuokite kortelę arba paprašykite ją pakeisti, pakeiskite prisijungimo duomenis ir stebėkite sąskaitą.
Kaip apsisaugoti ateityje
Svarbiausia taisyklė – mokėjimų, banko ir saugumo programėles diegti tik iš oficialios parduotuvės. Net jei puslapis atrodo kaip „Google Play“, patikrinkite, ar tikrai esate oficialioje programėlėje arba oficialiame domene, o ne kopijoje.
Nespauskite nuorodų iš SMS ar el. laiškų, kuriuose raginama „atnaujinti banko programėlę“, „patvirtinti kortelę“, „atsiimti laimėjimą“ ar „įdiegti saugumo modulį“. Bankai paprastai neprašo įdiegti atsitiktinių APK failų ir neprašo priglausti kortelės prie telefono suvedant PIN kodą.
Android telefone taip pat verta patikrinti, ar neleidžiate diegti programėlių iš nežinomų šaltinių. Šią funkciją geriau laikyti išjungtą. Patikima saugumo programėlė gali papildomai įspėti apie žinomas kenkėjiškas programas, tačiau ji nepakeičia atsargumo.
Pagrindinė NGate pamoka paprasta: kortelės duomenų nebereikia pavogti fiziškai, jei auka pati įdiegia programėlę, kuri juos perduoda nusikaltėliams. Todėl mokėjimų programėlė telefone turi būti vertinama taip pat rimtai kaip piniginė: neaiškus šaltinis, prašymas suvesti PIN ir raginimas priglausti kortelę prie telefono yra signalas sustoti, o ne tęsti.
