TL;DR

CERT Polska zaobserwował nowe próbki mobilnego złośliwego oprogramowania NGate wymierzone w użytkowników polskich banków1. Celem ataku jest umożliwienie nieuprawnionych wypłat gotówki z bankomatów z wykorzystaniem kart płatniczych ofiar2. Wszystko zaczyna się od phishingowej wiadomości (e-mail lub SMS) z linkiem do instalacji aplikacji na Androida3. Jeśli zainstalowałeś coś po takim linku — natychmiast sprawdź listę aplikacji i usuń podejrzane.

W skrócie: Przestępcy nie kradną fizycznie karty. Zamiast tego przechwytują dane NFC z Twojego telefonu i przesyłają je do urządzenia przy bankomacie. Wystarczy złośliwa aplikacja + PIN, który wpisujesz w ekranową klawiaturę.

Jak działa atak NGate

Mechanizm jest prosty, ale efektywny. Przestępcy nie kradną fizycznie karty — przekazują ruch NFC karty z telefonu ofiary do urządzenia przestępcy stojącego przy bankomacie4.

Atak przebiega w kilku etapach:

Etap 1: Phishing

Ofiara dostaje wiadomość phishingową (e-mail lub SMS) o rzekomym problemie technicznym lub incydencie bezpieczeństwa3. Link prowadzi na stronę, która nakłania do instalacji aplikacji na Androida. Analizowana próbka była dystrybuowana przez files[.]fm/u/yfwsanu8865 — typowe dla tego typu kampanii użycie anonimowych hostów plików.

Etap 2: Uwiarygodnienie przez telefon

Oszust dzwoni, podając się za pracownika banku, aby uwiarygodnić instalację aplikacji6. To kluczowy moment — ofiara myśli, że rozmawia z bankiem, więc instaluje aplikację bez zastrzeżeń.

Etap 3: Przechwycenie danych NFC

Ofiara musi przyłożyć fizyczną kartę do telefonu (NFC), a następnie wpisać PIN karty na ekranowej klawiaturze7. To wygląda jak normalna operacja — aplikacja udaje, że weryfikuje kartę.

Kiedy ofiara zbliża kartę do czytnika, aplikacja przechwytuje dane NFC karty (te same dane, które przepływają przez terminal/bankomat) i wysyła je przez Internet do urządzenia atakującego znajdującego się przy bankomacie (lub do serwera Command&Control, który następnie wysyła je do urządzenia przy bankomacie)8.

PIN jest wysyłany do atakującego razem z danymi NFC9.

Etap 4: Wypłata z bankomatu

Teraz atakujący ma wszystko, czego potrzebuje: dane karty + PIN. Urządzenie przy bankomacie emuluje kartę ofiary, bankomat nie widzi różnicy, gotówka wypada z automatu.

Techniczne detale NGate

Aplikacja rejestruje się jako usługa płatnicza HCE (Host Card Emulation) w Androidzie — może zachowywać się jak wirtualna karta10. To jest kluczowa technika: zamiast być zwykłą aplikacją, NGate pretenduje do roli systemu płatniczego.

Z analizy kodu:

  • Punkt startowy aplikacji to klasa rha.dev.p031me.SuperMain11
  • Aplikacja wymaga uprawnień: NFC, ACCESS_NETWORK_STATE i INTERNET12
  • Usługa HCE to rha.dev.me.nfc.hce.ApduService13
  • Natywna biblioteka ładuje się poprzez System.loadLibrary(), która ładuje libapp.so14
  • Klucz XOR jest dokładnie taki sam jak SHA-256 certyfikatu podpisu aplikacji (DER)15 — to wskazuje na zaawansowaną obfuskację

Wskaźniki kompromitacji

Serwer C2: 91.84.97.13:5653
Klasa główna: rha.dev.p031me.SuperMain
Usługa HCE: rha.dev.me.nfc.hce.ApduService
Biblioteka: libapp.so

Jeśli widzisz te sygnatury w logach lub raportach z EDR (Endpoint Detection and Response) — to potencjalny NGate16.

Kontekst: NGate to nie nowy malware

NGate to rodzina złośliwego oprogramowania na Androida, której celem jest przechwytywanie danych kart płatniczych obsługujących płatności zbliżeniowe17. W kampanii w Brazylii atakujący wykorzystali trojanizowaną wersję legalnej aplikacji HandyPay18.

Do tej pory identyfikowano ponad 760 złośliwych aplikacji podszywających się pod Google Pay oraz aplikacje bankowe, skoncentrowane głównie na użytkownikach z Europy Wschodniej, w tym Polski, Czech i Słowacji19.

Pierwsze ataki NFC relay odnotowano w Polsce już w 2023 roku20. Teraz, w 2025, kampania się intensyfikuje.

Kod źródłowy NGate funkcjonuje w obiegu podziemnym wśród grup hakerskich21 — to oznacza, że każdy z dostępem do forów hakerskich może uruchomić własną kampanię.

Co zrobić w 24-48 godzin

Dla użytkowników indywidualnych

  1. Sprawdź zainstalowane aplikacje — otwórz Ustawienia > Aplikacje. Szukaj aplikacji, które nie pamiętasz, że instalowałeś, szczególnie tych podszywających się pod banki lub Google Pay.

  2. Pobieraj aplikacje bankowe wyłącznie z oficjalnych sklepów (Google Play Store / App Store)22. Nigdy nie instaluj aplikacji z linków w e-mailach lub SMS-ach.

  3. Jeśli dzwoni do Ciebie Twój bank z informacją o problemie — rozłącz się i oddzwoń na numer banku23. Ta metoda w 100% weryfikuje prawdziwość połączenia.

  4. Włącz 2FA (uwierzytelnianie dwuetapowe) w aplikacji bankowej, jeśli bank to oferuje. Nawet jeśli atakujący ma PIN, bez drugiego czynnika nie wejdzie na konto.

  5. Jeśli podejrzewasz, że zainstalowałeś NGate:

    • Natychmiast usuń aplikację
    • Zmień hasła do banku (z innego urządzenia, nie z tego telefonu)
    • Skontaktuj się z bankiem i poinformuj o podejrzeniu
    • Rozważ zablokowanie karty na czas śledztwa

Dla firm i administracji

  1. Edukacja pracowników — przeprowadź szkolenie o phishingu. Podkreśl: bank nigdy nie prosi o instalację aplikacji przez link w e-mailu.

  2. Monitorowanie sieci — jeśli masz dostęp do logów sieciowych, szukaj połączeń do 91.84.97.13:565316. To serwer C2 NGate.

  3. Polityka BYOD (Bring Your Own Device) — jeśli pracownicy używają prywatnych telefonów do pracy, wymagaj:

    • Aktualnego systemu operacyjnego
    • Zainstalowanego antywirusa
    • Wyłączenia instalacji aplikacji z nieznanych źródeł

  4. Komunikacja z bankami — jeśli pracujesz w sektorze finansowym, skontaktuj się z CERT Polska lub bezpośrednio z bankami, aby uzyskać listę IoC (Indicators of Compromise) specyficznych dla Twojego regionu.

Dlaczego to działa

Atak NGate jest efektywny, bo łączy kilka elementów:

  1. Phishing — ofiara sama instaluje malware
  2. Socjotechnika — oszust dzwoni, podając się za bank
  3. Technologia HCE — Android pozwala aplikacjom emulować karty
  4. Brak weryfikacji — bankomat nie wie, że dane pochodzą z telefonu, a nie z fizycznej karty

To nie jest luka w Androidzie — to nadużycie legalnych funkcji. Google Play Store ma systemy ochrony, ale kod NGate jest dostępny w podziemiu21, więc atakujący mogą go modyfikować, aby uniknąć wykrycia.

Źródła

Zobacz też

Footnotes

  1. CERT Polska zaobserwował nowe próbki NGate wymierzone w użytkowników polskich banków — https://cert.pl/posts/2025/11/analiza-ngate/

  2. Celem ataku są nieuprawnione wypłaty gotówki z bankomatów z wykorzystaniem kart ofiar — https://cert.pl/posts/2025/11/analiza-ngate/

  3. Atak zaczyna się od phishingowej wiadomości z linkiem do instalacji aplikacji na Androida — https://cert.pl/posts/2025/11/analiza-ngate/ 2

  4. Przestępcy nie kradną fizycznie karty — przekazują (relay) ruch NFC z telefonu ofiary do urządzenia przy bankomacie — https://cert.pl/posts/2025/11/analiza-ngate/

  5. Analizowana próbka była dystrybuowana przez files[.]fm/u/yfwsanu886 — https://cert.pl/posts/2025/11/analiza-ngate/

  6. Oszust dzwoni, podając się za pracownika banku, aby uwiarygodnić instalację aplikacji — https://cert.pl/posts/2025/11/analiza-ngate/

  7. Ofiara przykłada kartę do telefonu (NFC) i wpisuje PIN na ekranowej klawiaturze — https://cert.pl/posts/2025/11/analiza-ngate/

  8. Aplikacja przechwytuje dane NFC karty i przesyła je do serwera C2 / urządzenia przy bankomacie — https://cert.pl/posts/2025/11/analiza-ngate/

  9. Wprowadzony PIN jest wysyłany do atakującego razem z danymi NFC — https://cert.pl/posts/2025/11/analiza-ngate/

  10. Aplikacja rejestruje się jako usługa HCE (Host Card Emulation) w Androidzie — https://cert.pl/posts/2025/11/analiza-ngate/

  11. Punkt startowy aplikacji to klasa rha.dev.p031me.SuperMain — https://cert.pl/posts/2025/11/analiza-ngate/

  12. Aplikacja deklaruje uprawnienia NFC, ACCESS_NETWORK_STATE i INTERNET — https://cert.pl/posts/2025/11/analiza-ngate/

  13. Usługa HCE implementowana jest w klasie ApduService (HostApduService) — https://cert.pl/posts/2025/11/analiza-ngate/

  14. Natywna biblioteka libapp.so ładowana przez System.loadLibrary() odpowiada za deszyfrowanie konfiguracji — https://cert.pl/posts/2025/11/analiza-ngate/

  15. Kluczem XOR do konfiguracji jest SHA-256 certyfikatu podpisu APK (DER) — https://cert.pl/posts/2025/11/analiza-ngate/

  16. Serwer C2 to 91.84.97.13:5653 (połączenie TCP plaintext) — https://cert.pl/posts/2025/11/analiza-ngate/ 2

  17. NGate to rodzina malware na Androida przechwytująca dane kart obsługujących płatności zbliżeniowe — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/

  18. W kampanii w Brazylii atakujący wykorzystali trojanizowaną wersję aplikacji HandyPay — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/

  19. Zidentyfikowano ponad 760 złośliwych aplikacji podszywających się pod Google Pay i aplikacje bankowe, głównie w Europie Wschodniej — https://android.com.pl/tech/987929-ataki-malware-relay-nfc-ngate-gotowka/

  20. Pierwsze ataki NFC relay odnotowano w Polsce już w 2023 roku — https://android.com.pl/tech/987929-ataki-malware-relay-nfc-ngate-gotowka/

  21. Kod źródłowy NGate funkcjonuje w obiegu podziemnym wśród grup hakerskich — https://android.com.pl/tech/987929-ataki-malware-relay-nfc-ngate-gotowka/ 2

  22. Rekomendacja: pobieraj aplikacje bankowe wyłącznie z oficjalnych sklepów — https://cert.pl/posts/2025/11/analiza-ngate/

  23. Rekomendacja: przy telefonie rzekomo z banku rozłącz się i oddzwoń na oficjalny numer banku — https://cert.pl/posts/2025/11/analiza-ngate/