Les cybercriminels spécialisés dans la fraude bancaire mobile continuent d’affiner leurs méthodes. La dernière découverte d’ESET Research révèle une évolution significative du malware NGate, une menace capable d’exploiter la technologie NFC des smartphones Android pour compromettre les cartes bancaires des victimes. Cette fois, les attaquants ne s’appuient plus sur l’outil NFCGate utilisé lors des précédentes campagnes, mais sur une application légitime : HandyPay.
Cette nouvelle variante, observée depuis novembre 2025, marque une étape supplémentaire dans la professionnalisation des attaques ciblant les paiements sans contact. Elle illustre également l’impact grandissant des outils d’intelligence artificielle générative dans l’écosystème cybercriminel.
NGate change de stratégie et s’appuie désormais sur HandyPay
Les chercheurs d’ESET ont identifié une version compromise de HandyPay, une application Android initialement conçue pour transmettre des données NFC entre appareils. Les attaquants ont modifié le logiciel en y intégrant des composants malveillants afin d’en faire un outil de fraude financière particulièrement discret.
L’objectif reste identique à celui des précédentes variantes de NGate : capturer les informations NFC d’une carte bancaire et les transférer en temps réel vers un appareil contrôlé par le cybercriminel. Une fois les données récupérées, celles-ci peuvent être utilisées pour réaliser des paiements frauduleux ou des retraits sans contact sur des terminaux compatibles.
Cette capacité de relais à distance constitue aujourd’hui l’un des risques les plus préoccupants pour les systèmes de paiement NFC, largement adoptés dans le monde entier.
Une application légitime transformée en outil de fraude bancaire
Au-delà de l’interception des communications NFC, la version malveillante de HandyPay dispose également d’une fonctionnalité particulièrement sensible : la collecte des codes PIN des victimes.
Les informations dérobées sont ensuite transmises vers un serveur de commande et de contrôle (C2), permettant aux opérateurs de la campagne de disposer à la fois des données de carte et du code confidentiel nécessaire pour effectuer des retraits frauduleux dans des distributeurs automatiques.
Selon ESET, les victimes recensées se trouvent majoritairement au Brésil. Toutefois, les chercheurs rappellent que ce type de menace possède un fort potentiel d’exportation vers d’autres régions où les paiements sans contact sont massivement utilisés.
Des indices d’intelligence artificielle dans le développement du malware
L’un des aspects les plus remarquables de cette découverte concerne l’origine potentielle du code malveillant.
Les analystes ont observé plusieurs traces inhabituelles dans les journaux de développement de l’application compromise. Certains éléments contiennent notamment des emojis et des structures fréquemment associées aux productions générées par des modèles d’intelligence artificielle.
Aucune preuve définitive ne permet d’affirmer que le malware a été entièrement créé à l’aide d’un grand modèle de langage (LLM). Néanmoins, ces indices renforcent une tendance déjà observée par de nombreux experts : les outils de GenAI contribuent à réduire considérablement les barrières techniques d’entrée dans la cybercriminalité.
Autrement dit, des individus disposant de compétences limitées peuvent désormais produire ou adapter des logiciels malveillants plus rapidement et à moindre coût.
Une campagne active depuis novembre 2025 au Brésil
Les investigations menées par ESET indiquent que cette opération malveillante est active depuis au moins novembre 2025 et demeure en circulation.
Les chercheurs précisent toutefois un point essentiel : la version infectée de HandyPay n’a jamais été distribuée via le magasin officiel Google Play. L’application légitime reste distincte de la version détournée utilisée dans cette campagne.
Dans le cadre de sa participation à l’App Defense Alliance, ESET a transmis ses conclusions à Google tout en alertant les développeurs de HandyPay afin de limiter les risques d’exploitation de leur marque par les cybercriminels.
Pourquoi les cybercriminels abandonnent progressivement NFCGate
L’évolution observée dans cette campagne reflète également des considérations économiques.
Les premières opérations NGate reposaient principalement sur NFCGate, un outil open source permettant de relayer des communications NFC. Depuis, plusieurs offres de Malware-as-a-Service (MaaS) spécialisées dans ce type d’attaque sont apparues sur les marchés clandestins.
Selon Lukáš Štefanko, chercheur chez ESET à l’origine de cette découverte, le coût constitue un facteur déterminant. Les plateformes criminelles proposant des capacités avancées de capture NFC peuvent exiger des abonnements mensuels atteignant environ 400 dollars pour NFU Pay et jusqu’à 500 dollars pour TX-NFC.
À l’inverse, HandyPay fonctionne selon un modèle beaucoup plus accessible, avec des contributions démarrant à 9,99 euros par mois. Cette différence financière rend l’approche particulièrement attractive pour des groupes cybercriminels cherchant à réduire leurs coûts opérationnels.
Autre avantage stratégique : l’application ne requiert pas initialement d’autorisations sensibles et peut être configurée comme solution de paiement par défaut, ce qui contribue à réduire les signaux d’alerte susceptibles d’éveiller les soupçons des utilisateurs.
Faux site de loterie et faux Google Play : les deux pièges utilisés
Pour diffuser le malware, les attaquants misent sur des techniques classiques mais efficaces de phishing.
Le premier scénario identifié repose sur un site frauduleux imitant « Rio de Prêmios », une loterie officielle associée à l’État de Rio de Janeiro via la Loterj. Les victimes sont incitées à télécharger une application présentée comme légitime.
Le second vecteur s’appuie sur une fausse page reproduisant l’apparence de Google Play et proposant une application baptisée « Proteção Cartão ».
Les analyses d’ESET montrent que ces deux infrastructures malveillantes sont hébergées sur un même domaine, un élément qui renforce l’hypothèse d’une opération orchestrée par un seul et même groupe.
Une fois installée, la version trojanisée de HandyPay entre en action, capture les informations NFC et récupère les codes PIN afin de permettre des opérations financières frauduleuses.
Une industrialisation croissante des attaques NFC
Cette nouvelle campagne confirme l’émergence d’un véritable écosystème criminel dédié à l’exploitation des technologies de paiement sans contact.
L’évolution de NGate montre que les cybercriminels ne se contentent plus de réutiliser des outils existants. Ils adaptent désormais des applications légitimes, exploitent les possibilités offertes par l’intelligence artificielle et recherchent en permanence les méthodes les plus rentables pour contourner les mécanismes de détection.
Pour les institutions financières, les éditeurs d’applications et les utilisateurs, cette sophistication croissante impose un renforcement continu des mécanismes de surveillance, d’authentification et de sensibilisation.
ESET alerte sur une menace appelée à se mondialiser
Même si le Brésil demeure aujourd’hui la principale cible de cette campagne, les chercheurs considèrent que la menace dépasse largement les frontières du pays. La généralisation des paiements mobiles et des technologies NFC offre un terrain favorable à la propagation de ce type d’attaque dans d’autres régions du monde.
L’affaire HandyPay illustre ainsi une transformation plus profonde du paysage cybercriminel : l’association entre fraude financière, ingénierie sociale et intelligence artificielle accélère la création de menaces toujours plus discrètes, plus accessibles et potentiellement plus difficiles à détecter.
Pour les experts en cybersécurité, cette évolution constitue un signal fort : les attaques NFC ne relèvent plus d’un phénomène marginal, mais d’un segment en pleine maturation de la cybercriminalité mondiale.
Répartition géographique des attaques NGate de janvier 2025 à février 2026
