TL;DR

1 CERT Polska zaobserwował nowe próbki mobilnego złośliwego oprogramowania powiązane z atakiem NFC Relay (NGate) wymierzone w użytkowników polskich banków. 2 Celem ataku jest umożliwienie nieuprawnionych wypłat gotówki z bankomatów z wykorzystaniem kart płatniczych ofiar. Atak rozpoczyna się od wiadomości phishingowej, a kończy się kradzieżą danych karty i PIN-u — wszystko bez fizycznej kradzieży karty. Poniżej analizujemy mechanikę ataku, wskaźniki kompromitacji i praktyczne sposoby obrony.

Najważniejsze liczby

WskaźnikWartość
Liczba złośliwych aplikacji w Europie3 ponad 760
Główne regiony docelowe3 Europa Wschodnia (Polska, Czechy, Słowacja)
Rok pierwszych ataków w Polsce4 2023
Serwer C2 (IP:port)5 91.84.97.13:5653
Wymagane uprawnienia aplikacji6 NFC, dostęp do sieci, Internet

Metodologia

Raport opiera się na analizie CERT Polska z listopada 2025 roku oraz publicznych raportach branżowych dotyczących kampanii NGate. Dane pochodzą z:

  • Oficjalnego komunikatu CERT Polska (analiza próbek malware’u)
  • Raportów bezpieczeństwa z sektora mobilnego
  • Obserwacji kampanii w Brazylii i Europie Wschodniej
  • Analizy kodu aplikacji (manifest Android, usługi HCE, serwery C2)

Raport skupia się na polskim kontekście, ale uwzględnia globalny kontekst ataku, aby pokazać ewolucję zagrożenia.

Jak działa atak NGate — krok po kroku

Etap 1: Phishing i instalacja

7 Ofiara otrzymuje wiadomość phishingową (e-mail/SMS) o rzekomym problemie technicznym lub incydencie bezpieczeństwa — z linkiem do instalacji aplikacji na Androida. 8 Analizowana próbka była dystrybuowana przez files[.]fm/u/yfwsanu886 — publiczny serwis do dzielenia plikami, który utrudnia śledzenie źródła.

Wiadomość phishingowa może podszywać się pod:

  • Oficjalną aplikację banku
  • Google Pay
  • Aplikację do weryfikacji tożsamości

Etap 2: Uwiarygodnienie przez telefon

9 Oszust dzwoni, podając się za pracownika banku, aby potwierdzić tożsamość i uwiarygodnić instalację aplikacji. Rozmowa ma na celu:

  • Zbudowanie zaufania
  • Potwierdzenie, że ofiara zainstalowała aplikację
  • Nakłonienie do wykonania następnego kroku

Ta taktyka socjotechniczna jest kluczowa — większość ofiar nie podejrzewa, że rozmówca to oszust.

Etap 3: Przechwycenie danych karty i PIN-u

10 W aplikacji ofiara jest proszona o przyłożenie fizycznej karty do telefonu (NFC) i wpisanie PIN karty na ekranowej klawiaturze.

To jest moment krytyczny — aplikacja NGate:

11 Rejestruje się jako usługa płatnicza HCE (Host Card Emulation) w Androidzie — może zachowywać się jak wirtualna karta. 6 Wymaga uprawnień: NFC, ACCESS_NETWORK_STATE i INTERNET. 12 Usługa HCE to rha.dev.me.nfc.hce.ApduService — komponent odpowiedzialny za emulowanie karty.

Etap 4: Transmisja danych do atakującego

13 Kiedy ofiara zbliża kartę do czytnika, aplikacja przechwytuje dane NFC karty (te same dane, które przepływają przez terminal/bankomat) — i wysyła je przez Internet do urządzenia atakującego przy bankomacie lub do serwera Command&Control.

14 PIN jest wysyłany do atakującego razem z danymi NFC.

15 Przestępcy nie kradną fizycznie karty — przekazują ruch NFC karty z telefonu ofiary do urządzenia przestępcy stojącego przy bankomacie. To jest tzw. NFC relay attack — atak przekaźnikowy, w którym dane karty są przekazywane w czasie rzeczywistym.

Etap 5: Nieuprawniona wypłata

Dysponując danymi karty i PIN-em, przestępca może:

  • Dokonać wypłaty z bankomatu
  • Dokonać płatności zbliżeniowej w sklepach
  • Sprzedać dane na rynku podziemnym

Techniczne szczegóły NGate

Punkt startowy i architektura

16 Punkt startowy aplikacji NGate to klasa rha.dev.p031me.SuperMain. Struktura pakietu sugeruje, że aplikacja jest zbudowana w oparciu o szkielet do tworzenia złośliwych aplikacji — możliwe, że kod krąży w podziemnych forach hakerskich.

Szyfrowanie i klucze

17 Klucz XOR (używany do szyfrowania komunikacji) jest dokładnie taki sam jak SHA-256 certyfikatu podpisu aplikacji (DER). To oznacza, że atakujący używają deterministycznego klucza opartego na certyfikacie — co ułatwia analizę, lecz utrudnia zmianę klucza bez przebudowy aplikacji.

Serwer Command&Control

5 Odszyfrowany serwer C2 wydobyty z analizowanej próbki NGate to IP/port: 91.84.97.13:5653. CERT Polska opublikował ten wskaźnik kompromitacji (IoC), aby umożliwić blokowanie ruchu do tego serwera na poziomie sieci.

Globalna ewolucja NGate — od Brazylii do Polski

Kampania w Brazylii

18 NGate to rodzina złośliwego oprogramowania na Androida, której celem jest przechwytywanie danych kart płatniczych obsługujących transakcje zbliżeniowe. 19 W analizowanym scenariuszu w Brazylii atakujący wykorzystali trojanizowaną wersję legalnej aplikacji HandyPay. 20 Kampania miała rozpocząć się około listopada 2025 roku.

Brazylijska kampania pokazała, że NGate może być dystrybuowany przez:

  • Trojanizowane wersje legalnych aplikacji
  • Fałszywe sklepy aplikacji
  • Linki phishingowe w SMS-ach i e-mailach

Rozprzestrzenianie się w Europie

3 Do tej pory identyfikowano ponad 760 złośliwych aplikacji podszywających się pod Google Pay oraz aplikacje bankowe, skoncentrowane głównie na użytkownikach z Europy Wschodniej, w tym Polski, Czech i Słowacji.

21 Przestępcy wykorzystują technologię Android Host Card Emulation (HCE) do emulowania kart zbliżeniowych. 22 Złośliwe aplikacje przechwytują dane EMV (standardowe pola identyfikacyjne kart płatniczych podczas płatności zbliżeniowych) i automatycznie przesyłają je do specjalnych botów na Telegramie.

Boty na Telegramie pełnią rolę pośrednika — odbierają dane, sortują je, a następnie sprzedają na rynku podziemnym lub wykorzystują w atakach.

Historia zagrożenia

4 Pierwsze tego typu ataki odnotowano w Polsce już w 2023 roku. Oznacza to, że NGate nie jest nowym zagrożeniem — lecz kampania z 2025 roku jest bardziej zaawansowana i skoordynowana.

23 Obecnie technika jest szeroko dostępna w grupach hakerskich, a kod źródłowy funkcjonuje w obiegu podziemnym. To oznacza, że każdy z dostępem do podziemnych forów może pobrać kod NGate i uruchomić własną kampanię.

Kontekst polski — dlaczego Polska?

Polska jest szczególnie atrakcyjnym celem kampanii NGate z kilku powodów:

  1. Wysoka penetracja smartfonów — większość Polaków korzysta z Androida do operacji bankowych.
  2. Popularność płatności zbliżeniowych — polskie banki aktywnie promują NFC i Google Pay.
  3. Mniejsza świadomość zagrożenia — użytkownicy mogą nie wiedzieć o atakach NFC relay.
  4. Łatwy dostęp do danych — polskie numery telefonów i adresy e-mail są dostępne na rynku podziemnym.

Polskie instytucje finansowe powinny:

  • Wysyłać alerty do klientów o zagrożeniu
  • Wdrażać dodatkowe walidacje (np. potwierdzenie wypłaty SMS-em)
  • Monitorować anomalie w transakcjach (np. wypłaty z bankomatów w niezwykłych godzinach)

Jak się bronić — praktyczne kroki

Dla użytkowników

1. Pobieraj aplikacje tylko z oficjalnych źródeł

24 Zawsze pobieraj aplikacje bankowe wyłącznie z oficjalnych sklepów (Google Play Store / App Store). Nigdy nie instaluj aplikacji z linków w SMS-ach, e-mailach lub stron trzecich.

2. Weryfikuj połączenia telefoniczne

25 Jeśli dzwoni do Ciebie Twój bank i informuje, że dzieje się coś złego, rozłącz się i oddzwoń na numer banku. Ta metoda w 100% weryfikuje prawdziwość połączenia.

Nigdy nie podawaj PIN-u, hasła ani danych karty przez telefon — nawet jeśli rozmówca twierdzi, że jest z banku.

3. Nie instaluj aplikacji poza Google Play Store

Android pozwala na instalację aplikacji z nieznanych źródeł. Wyłącz tę opcję w ustawieniach:

  • Ustawienia → Bezpieczeństwo → Nieznane źródła (wyłącz)

4. Monitoruj transakcje

Regularnie sprawdzaj wyciągi bankowe i powiadomienia o transakcjach. Jeśli zauważysz podejrzaną wypłatę, natychmiast skontaktuj się z bankiem.

5. Włącz uwierzytelnianie dwuetapowe (2FA)

Jeśli Twój bank oferuje 2FA (np. potwierdzenie SMS-em), włącz je — to może utrudnić atakującemu dostęp do konta, nawet jeśli ma dane karty.

Dla banków i instytucji finansowych

1. Blokuj aplikacje NGate na poziomie sieci

Banki mogą:

  • Blokować połączenia do serwera C2 (91.84.97.13:5653)
  • Monitorować pobieranie podejrzanych aplikacji z Google Play Store
  • Współpracować z Google w celu usunięcia złośliwych aplikacji

2. Wdrażaj zaawansowaną detekcję anomalii

  • Monitoruj wypłaty z bankomatów w niezwykłych godzinach
  • Flaguj transakcje z nowych urządzeń
  • Wymagaj potwierdzenia SMS-em dla dużych wypłat

3. Edukuj klientów

  • Wysyłaj alerty o zagrożeniu NGate
  • Publikuj poradniki bezpieczeństwa
  • Ostrzegaj o phishingu i inżynierii społecznej

4. Współpracuj z CERT Polska

Banki powinny dzielić się informacjami o atakach z CERT Polska, aby pomóc w identyfikacji nowych próbek i kampanii.

Wskaźniki kompromitacji (IoCs)

Jeśli Twoja organizacja chce monitorować zagrożenie NGate, zwróć uwagę na poniższe wskaźniki:

TypWartośćŹródło
Serwer C25 91.84.97.13:5653CERT Polska
Punkt startowy16 rha.dev.p031me.SuperMainAnaliza kodu
Usługa HCE12 rha.dev.me.nfc.hce.ApduServiceAnaliza kodu
Uprawnienia6 NFC, ACCESS_NETWORK_STATE, INTERNETManifest Android
Kanał dystrybucji8 files[.]fm/u/yfwsanu886CERT Polska

Scenariusze bez odpowiedzi

Raport CERT Polska nie wyjaśnia kilku kluczowych pytań:

  1. Ile ofiar w Polsce? — CERT Polska nie podał liczby potwierdzonych przypadków. Czy to dziesiątki, setki czy tysiące?

  2. Kto stoi za kampanią? — Raport nie przypisuje kampanii konkretnej grupie. Czy to zorganizowana przestępczość, gang międzynarodowy, czy grupa powiązana z państwem?

  3. Jak długo trwa kampania? — Czy NGate działa od 2023 roku bez przerwy, czy pojawiła się nowa fala w 2025?

  4. Jakie banki są celem? — Czy wszystkie polskie banki są równie narażone, czy niektóre mają lepszą ochronę?

  5. Ile pieniędzy skradziono? — Jaka jest szacunkowa strata dla ofiar i sektora finansowego?

Rekomendacje dla różnych ról

Dla CISO (Chief Information Security Officer)

  • Wdrażaj monitoring serwera C2 (91.84.97.13:5653) na poziomie sieci organizacji
  • Współpracuj z zespołem mobilnym w celu audytu aplikacji bankowych
  • Przygotuj plan reagowania na incydenty związane z NGate
  • Edukuj pracowników o zagrożeniu phishingu i socjotechniki

Dla deweloperów aplikacji bankowych

  • Implementuj zaawansowaną detekcję anomalii (np. wiele nieudanych prób logowania z różnych urządzeń)
  • Testuj aplikacje pod kątem podatności na ataki NFC relay
  • Wdrażaj pinning certyfikatów SSL/TLS
  • Monitoruj uprawnienia aplikacji — wyłącz dostęp do NFC jeśli nie jest potrzebny

Dla użytkowników indywidualnych

  • Nie instaluj aplikacji z linków w SMS-ach lub e-mailach
  • Weryfikuj połączenia telefoniczne z bankiem
  • Monitoruj transakcje
  • Włącz 2FA

Podsumowanie

NGate to zagrożenie, które wymaga uwagi zarówno od użytkowników, jak i od instytucji finansowych. Kampania w Polsce pokazuje, że przestępcy aktywnie atakują polskich użytkowników. Kluczem do obrony jest edukacja, monitoring oraz szybka reakcja na incydenty.

Źródła

Zobacz też

Footnotes

  1. CERT Polska zaobserwował nowe próbki mobilnego złośliwego oprogramowania powiązane z atakiem NFC Relay (NGate) wymierzonym w użytkowników polskich banków — https://cert.pl/posts/2025/11/analiza-ngate/

  2. Celem ataku NGate jest umożliwienie nieuprawnionych wypłat gotówki z bankomatów z wykorzystaniem kart płatniczych ofiar — https://cert.pl/posts/2025/11/analiza-ngate/

  3. W Europie identyfikowano ponad 760 złośliwych aplikacji podszywających się pod Google Pay oraz aplikacje bankowe, skoncentrowane głównie na użytkownikach z Europy Wschodniej, w tym Polski, Czech i Słowacji — https://android.com.pl/tech/987929-ataki-malware-relay-nfc-ngate-gotowka/ 2 3

  4. Pierwsze ataki NFC relay odnotowano w Polsce już w 2023 roku — https://android.com.pl/tech/987929-ataki-malware-relay-nfc-ngate-gotowka/ 2

  5. Adres serwera C2 wydobyty z analizowanej próbki NGate to IP/port: 91.84.97.13:5653 — https://cert.pl/posts/2025/11/analiza-ngate/ 2 3

  6. Aplikacja NGate wymaga uprawnień: NFC, ACCESS_NETWORK_STATE i INTERNET — https://cert.pl/posts/2025/11/analiza-ngate/ 2 3

  7. Ofiara otrzymuje wiadomość phishingową (e-mail/SMS) o rzekomym problemie technicznym lub incydencie bezpieczeństwa, z linkiem do instalacji aplikacji na Androida — https://cert.pl/posts/2025/11/analiza-ngate/

  8. Analizowana próbka NGate była dystrybuowana przez files[.]fm/u/yfwsanu886 — https://cert.pl/posts/2025/11/analiza-ngate/ 2

  9. Oszust dzwoni, podając się za pracownika banku, aby potwierdzić tożsamość i uwiarygodnić instalację aplikacji — https://cert.pl/posts/2025/11/analiza-ngate/

  10. W aplikacji ofiara jest proszona o przyłożenie fizycznej karty do telefonu (NFC) i wpisanie PIN karty na ekranowej klawiaturze — https://cert.pl/posts/2025/11/analiza-ngate/

  11. Aplikacja rejestruje się jako usługa płatnicza HCE (Host Card Emulation) w Androidzie — https://cert.pl/posts/2025/11/analiza-ngate/

  12. Usługa HCE w NGate to rha.dev.me.nfc.hce.ApduService — https://cert.pl/posts/2025/11/analiza-ngate/ 2

  13. Aplikacja przechwytuje dane NFC karty i wysyła je przez Internet do urządzenia atakującego przy bankomacie lub do serwera Command&Control — https://cert.pl/posts/2025/11/analiza-ngate/

  14. PIN jest wysyłany do atakującego razem z danymi NFC — https://cert.pl/posts/2025/11/analiza-ngate/

  15. Przestępcy nie kradną fizycznie karty, ale przekazują ruch NFC karty z telefonu ofiary do urządzenia przestępcy stojącego przy bankomacie — https://cert.pl/posts/2025/11/analiza-ngate/

  16. Punkt startowy aplikacji NGate to klasa rha.dev.p031me.SuperMain — https://cert.pl/posts/2025/11/analiza-ngate/ 2

  17. Klucz XOR w NGate jest dokładnie taki sam jak SHA-256 certyfikatu podpisu aplikacji (DER) — https://cert.pl/posts/2025/11/analiza-ngate/

  18. NGate to rodzina złośliwego oprogramowania na Androida, której celem jest przechwytywanie danych kart płatniczych obsługujących płatności zbliżeniowe — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/

  19. Kampania NGate w Brazylii wykorzystała trojanizowaną wersję legalnej aplikacji HandyPay — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/

  20. Kampania NGate w Brazylii miała rozpocząć się około listopada 2025 roku — https://securitybeztabu.pl/kampania-ngate-w-brazylii-trojanizowany-handypay-wykrada-dane-nfc-i-pin-y-kart-platniczych/

  21. Przestępcy wykorzystują technologię Android Host Card Emulation (HCE) do emulowania kart zbliżeniowych — https://android.com.pl/tech/987929-ataki-malware-relay-nfc-ngate-gotowka/

  22. Złośliwe aplikacje przechwytują dane EMV i automatycznie przesyłają je do specjalnych botów na Telegramie — https://android.com.pl/tech/987929-ataki-malware-relay-nfc-ngate-gotowka/

  23. Kod źródłowy NGate funkcjonuje w obiegu podziemnym — https://android.com.pl/tech/987929-ataki-malware-relay-nfc-ngate-gotowka/

  24. Aplikacje bankowe należy pobierać wyłącznie z oficjalnych sklepów (Google Play Store / App Store) — https://cert.pl/posts/2025/11/analiza-ngate/

  25. Jeśli bank dzwoni z informacją o problemie, należy rozłączyć się i oddzwonić na numer banku w celu weryfikacji — https://cert.pl/posts/2025/11/analiza-ngate/