NGate : Jak atak NFC Relay opróżnia konta Polaków przez telefon

W ostatnich miesiącach na radarze analityków pojawiła się nowa, wyrafinowana kampania wymierzona w polskich użytkowników bankowości mobilnej ¹. Zidentyfikowane przez CERT Polska złośliwe oprogramowanie, nazwane NGate, wykorzystuje kombinację socjotechniki i zaawansowanej technologii do kradzieży środków bezpośrednio z bankomatów ^{2 3}. Prześledziliśmy krok po kroku, jak działa ten atak — od fałszywego telefonu z banku po fizyczną wypłatę gotówki przez przestępcę.

Co badamy

Nasza analiza skupia się na kampanii złośliwego oprogramowania mobilnego NGate, zaobserwowanej i opisanej przez Zespół Reagowania na Incydenty Komputerowe CERT Polska ². Badamy mechanizm ataku, który w unikalny sposób łączy świat cyfrowy i fizyczny. Celem operatorów jest przeprowadzenie nieautoryzowanych wypłat gotówki z bankomatów przy użyciu danych kart płatniczych ofiar ³. Co kluczowe, atak odbywa się bez fizycznej kradzieży karty ⁴. Zamiast tego, przestępcy wykorzystują technologię NFC (Near Field Communication — komunikacja bliskiego zasięgu) w telefonie ofiary, aby zdalnie „przyłożyć” jej kartę do bankomatu.

Zakres naszego śledztwa obejmuje zrekonstruowanie pełnego łańcucha ataku, identyfikację kluczowych technik i narzędzi (TTPs) oraz osadzenie polskiej kampanii w szerszym, globalnym kontekście działań grupy stojącej za NGate.

Metoda

Dochodzenie oparliśmy w całości na publicznie dostępnych źródłach (OSINT). Podstawą jest szczegółowa analiza techniczna opublikowana przez CERT Polska. Uzupełniliśmy ją o doniesienia z innych portali branżowych, które opisywały wcześniejsze warianty i kampanie tego samego złośliwego oprogramowania w innych regionach świata. Korelując te dane, budujemy spójny obraz ewolucji i metod działania operatorów NGate. Nie prowadziliśmy własnej inżynierii wstecznej próbki, bazując na ustaleniach opublikowanych przez badaczy.

Sygnatura ataku: Od telefonu po gotówkę w ręku

Atak NGate jest wieloetapowy i precyzyjnie wyreżyserowany. Każdy element — od psychologicznej manipulacji po techniczne obejście zabezpieczeń — odgrywa kluczową rolę. Prześledźmy ten proces.

Krok 1: Zaufanie zbudowane na kłamstwie

Wszystko zaczyna się od wiadomości phishingowej, wysłanej e-mailem lub SMS-em ⁵. Jej treść informuje o rzekomym problemie technicznym lub incydencie bezpieczeństwa na koncie bankowym. Link zawarty w komunikacie prowadzi do strony internetowej, która nakłania do pobrania i instalacji specjalnej aplikacji na telefon z systemem Android ⁶.

To jednak nie koniec socjotechniki. Aby uśpić czujność ofiary i uwiarygodnić cały proces, wkrótce po otrzymaniu wiadomości dzwoni oszust, podający się za pracownika działu bezpieczeństwa banku ⁷. Potwierdza on rzekomy incydent i instruuje, że instalacja aplikacji jest niezbędna do zabezpieczenia środków. W niektórych przypadkach ofiara może nawet otrzymać dodatkowy SMS, który ma „potwierdzić” tożsamość dzwoniącego konsultanta ⁸. Ta kombinacja kilku kanałów komunikacji (SMS, e-mail, telefon) znacząco zwiększa wiarygodność oszustwa.

Krok 2: Złośliwa aplikacja z nieoficjalnego źródła

Ofiara, przekonana o konieczności podjęcia działań, instaluje aplikację spoza oficjalnego sklepu Google Play. W przypadku próbki analizowanej przez CERT Polska, plik APK był dystrybuowany za pośrednictwem serwisu hostingowego files[.]fm ⁹. To klasyczny sygnał alarmowy — banki i instytucje finansowe dystrybuują swoje aplikacje wyłącznie przez autoryzowane sklepy ¹⁰.

Po instalacji aplikacja prosi o szerokie uprawnienia, które na pierwszy rzut oka mogą wydawać się uzasadnione w kontekście „zabezpieczania konta”. W rzeczywistości przygotowuje ona telefon do kluczowej fazy ataku.

Krok 3: Cyfrowe sklonowanie karty

Gdy aplikacja jest już aktywna, oszust prowadzi ofiarę przez proces rzekomej „weryfikacji karty płatniczej”. Na ekranie telefonu pojawia się interfejs, który prosi o przyłożenie fizycznej karty do tylnej obudowy urządzenia ¹¹. W tym momencie telefon, wykorzystując wbudowany czytnik NFC, nawiązuje komunikację z kartą.

Następnie ofiara jest proszona o wpisanie kodu PIN na klawiaturze wyświetlanej w aplikacji ¹². To ostatni element układanki, którego potrzebują przestępcy.

Co dzieje się w tle? Złośliwa aplikacja, podszywając się pod legalną usługę płatniczą, rejestruje się w systemie Android jako narzędzie do emulacji karty, wykorzystując technologię HCE (Host Card Emulation) ¹³. Dzięki temu może przechwytywać pełną komunikację między kartą a telefonem. Dane z czipa NFC oraz wpisany przez użytkownika kod PIN są natychmiast przechwytywane i pakowane do wysyłki ^{14 15}.

Krok 4: Atak NFC Relay i wypłata z bankomatu

To najbardziej innowacyjny element ataku. Przechwycone dane karty i PIN są w czasie rzeczywistym wysyłane przez internet do serwera C2 (Command and Control — serwer zarządzający atakiem) lub bezpośrednio do drugiego urządzenia, które znajduje się w posiadaniu wspólnika stojącego przy bankomacie ¹⁴.

To drugie urządzenie, również kontrolowane przez przestępców, odbiera przekazane dane i „odtwarza” sygnał NFC karty ofiary, przykładając je do czytnika zbliżeniowego w bankomacie. Bankomat „myśli”, że ma do czynienia z autentyczną, fizyczną kartą. Atakujący wprowadza przechwycony kod PIN i wypłaca gotówkę ¹⁶.

Ofiara nie traci fizycznie karty, a cała operacja może trwać zaledwie kilkadziesiąt sekund. Zanim zorientuje się, że padła ofiarą oszustwa, pieniądze znikają z jej konta.

Analitycy CERT Polska zdołali zlokalizować i odszyfrować konfigurację złośliwej aplikacji, odkrywając adres IP aktywnego serwera C2: 91.84.97.13:5653 ^{17 18}.

Co to znaczy

Atak NGate nie jest nowością na świecie, ale jego pojawienie się w Polsce i precyzyjne ukierunkowanie na lokalnych użytkowników to niepokojący sygnał. NGate to znana rodzina złośliwego oprogramowania na Androida, której celem jest przechwytywanie danych z kart płatniczych obsługujących płatności zbliżeniowe ¹⁹.

Obserwując wcześniejsze kampanie, możemy dostrzec ewolucję taktyki. Na przykład w Brazylii, gdzie kampania NGate nasiliła się w okolicach listopada 2025 roku, atakujący wykorzystali stargetowaną wersję legalnej aplikacji płatniczej HandyPay ²⁰. Podobnie jak w Polsce, celem byli użytkownicy Androida ²¹, a zmodyfikowana aplikacja była dystrybuowana poza oficjalnym sklepem ²². Ofiary były nakłaniane do ustawienia fałszywej aplikacji jako domyślnej metody płatności ²³, co ułatwiało przechwycenie danych karty i PIN-u podczas próby dokonania transakcji ²⁴. Skradzione w ten sposób informacje służyły do przeprowadzania nieautoryzowanych transakcji i wypłat gotówki ²⁵.

Technika NFC Relay, choć znana w teorii od lat, rzadko była obserwowana w tak skutecznych, masowych kampaniach. Jej wdrożenie wymaga koordynacji między operatorem prowadzącym socjotechnikę a osobą fizycznie obecną przy bankomacie. To sugeruje, że za atakami stoi zorganizowana grupa przestępcza, a nie pojedynczy haker.

Polish context

Kampania NGate w Polsce jest alarmująca z kilku powodów. Po pierwsze, jest jednoznacznie wymierzona w użytkowników polskich banków ¹. Oznacza to, że przestępcy odrobili pracę domową: przygotowali scenariusze socjotechniczne w języku polskim i prawdopodobnie zidentyfikowali najpopularniejsze banki, pod które mogą się podszywać. To nie jest przypadkowy, masowy atak, a operacja skrojona na nasz rynek.

Powszechność płatności zbliżeniowych w Polsce, zarówno kartami, jak i telefonami, tworzy podatny grunt dla tego typu ataków. Użytkownicy są przyzwyczajeni do używania technologii NFC, co może osłabiać ich czujność, gdy fałszywa aplikacja prosi o „zeskanowanie” karty.

Kluczowe rekomendacje bezpieczeństwa nabierają w tym kontekście szczególnego znaczenia:

1. Weryfikuj rozmówców: Jeśli dzwoni do Ciebie osoba podająca się za pracownika banku, zwłaszcza w sprawie rzekomego zagrożenia, zachowaj sceptycyzm. Najbezpieczniejszą metodą jest rozłączenie się i samodzielne oddzwonienie na oficjalną infolinię banku, której numer znajdziesz na jego stronie internetowej lub w aplikacji ²⁶.
2. Instaluj aplikacje tylko z oficjalnych źródeł: Nigdy nie instaluj aplikacji bankowych ani żadnych innych, które mają dostęp do Twoich finansów, z linków otrzymanych w SMS-ach czy e-mailach. Korzystaj wyłącznie z autoryzowanych sklepów, takich jak Google Play Store czy Apple App Store ¹⁰.
3. Nigdy nie podawaj PIN-u w aplikacji: Kod PIN do karty płatniczej służy wyłącznie do autoryzacji transakcji w terminalu płatniczym lub bankomacie. Żadna aplikacja ani pracownik banku nigdy nie poprosi Cię o jego podanie.

Co zostawiamy nierozstrzygnięte

Nasza analiza, oparta na publicznych danych, pozostawia kilka otwartych pytań, które stanowią punkt wyjścia do dalszych dochodzeń:

• Atrybucja: Która grupa przestępcza stoi za operacjami NGate? Raporty nie łączą jej z żadnym znanym aktorem sceny cyberprzestępczej.
• Skala w Polsce: Jaka jest rzeczywista skala kampanii w naszym kraju? Ile osób padło ofiarą i jakie są szacowane straty finansowe?
• Infrastruktura fizyczna: W jaki sposób zorganizowana jest siatka „mułów”, czyli osób wypłacających gotówkę z bankomatów? Czy są to członkowie grupy, czy osoby rekrutowane jednorazowo do tego zadania?
• Konkretne cele: Pod które polskie banki najczęściej podszywają się oszuści? Posiadanie tej wiedzy pozwoliłoby na skuteczniejsze ostrzeganie klientów.

Źródła

Zobacz też

• NGate: kradzież pieniędzy z kart przez telefon
• FEMITBOT: Telegram Mini Apps w scamach krypto
• Publiczne Wi-Fi 2026 — czy jest niebezpieczne? (fakty, nie mity)

Footnotes

1. Atak NGate jest wymierzony w użytkowników polskich banków. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩ ↩²

2. CERT Polska zaobserwował nowe próbki mobilnego złośliwego oprogramowania powiązane z atakiem NFC Relay (NGate). — https://cert.pl/posts/2025/11/analiza-ngate/ ↩ ↩²

3. Celem ataku NGate jest umożliwienie nieuprawnionych wypłat gotówki z bankomatów z wykorzystaniem kart płatniczych ofiar. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩ ↩²

4. Przestępcy nie kradną fizycznie karty, lecz przekazują ruch NFC karty z telefonu ofiary do urządzenia przestępcy stojącego przy bankomacie. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

5. Atak rozpoczyna się od wiadomości phishingowej (e-mail/SMS) o rzekomym problemie technicznym lub incydencie bezpieczeństwa. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

6. Link w wiadomości phishingowej prowadzi na stronę, która nakłania do instalacji aplikacji na Androida. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

7. Oszust dzwoni, podając się za pracownika banku, aby uwiarygodnić instalację aplikacji i potwierdzić tożsamość. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

8. Użytkownik otrzymuje SMS potwierdzający tożsamość rzekomego pracownika banku. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

9. Próbka analizowana przez CERT Polska była dystrybuowana przez files[.]fm/u/yfwsanu886. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

10. Zaleca się pobieranie aplikacji bankowych wyłącznie z oficjalnych sklepów (Google Play Store / App Store). — https://cert.pl/posts/2025/11/analiza-ngate/ ↩ ↩²

11. W aplikacji ofiara jest proszona o zweryfikowanie swojej karty płatniczej, przykładając ją fizycznie do telefonu (NFC). — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

12. Ofiara musi wpisać PIN karty na ekranowej klawiaturze w aplikacji. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

13. Aplikacja rejestruje się jako usługa płatnicza HCE (Host Card Emulation) w Androidzie. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

14. Aplikacja przechwytuje dane NFC karty i wysyła je przez Internet do urządzenia atakującego przy bankomacie lub do serwera Command&Control. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩ ↩²

15. Interfejs aplikacji zawiera klawiaturę PIN, a PIN jest wysyłany do atakującego razem z danymi NFC. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

16. Urządzenie atakującego odtwarza dane karty w bankomacie, a dzięki przekazanym danym i kodowi PIN atakujący wypłaca gotówkę. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

17. Adres serwera i jego działanie są ukryte w zaszyfrowanym pliku dołączonym do aplikacji. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

18. Odszyfrowany aktywny serwer C2 to 91.84.97.13:5653. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩

19. NGate to rodzina złośliwego oprogramowania na Androida, której celem jest przechwytywanie danych kart płatniczych obsługujących płatności zbliżeniowe. — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/ ↩

20. Najnowsza kampania NGate w Brazylii wykorzystywała trojanizowaną wersję legalnej aplikacji HandyPay. — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/ ↩

21. Kampania NGate w Brazylii była wymierzona głównie w użytkowników Androida. — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/ ↩

22. Atakujący dystrybuowali zmodyfikowaną aplikację HandyPay poza oficjalnym sklepem. — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/ ↩

23. Ofiary były nakłaniane do ustawienia trojanizowanej aplikacji jako domyślnej metody płatności. — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/ ↩

24. Malware przechwytywał dane NFC karty oraz kod PIN wpisany przez użytkownika. — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/ ↩

25. Skradzione informacje mogły posłużyć do nieautoryzowanych transakcji i wypłat gotówki. — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/ ↩

26. W przypadku telefonu od banku, należy się rozłączyć i oddzwonić na oficjalny numer banku w celu weryfikacji. — https://cert.pl/posts/2025/11/analiza-ngate/ ↩