Владельцам Android-смартфонов грозит новый вирус для кражи PIN-кодов

Специалисты компании ESET зафиксировали новую волну атак вредоносной программы для Android под названием NGate, которая маскируется под приложение HandyPay.

Кампания по распространению вируса активизировалась в ноябре 2025 года. Потенциальные жертвы завлекаются на поддельные сайты, которые имитируют магазин приложений Google Play, где им предлагается загрузить зараженную трояном версию HandyPay. После установки программа запрашивает статус платежного средства по умолчанию. Затем она убеждает пользователя ввести PIN-код банковской карты и поднести ее к NFC-модулю телефона. В этот момент вредоносное ПО перехватывает данные и отправляет их злоумышленникам, что позволяет им осуществлять бесконтактные платежи или снимать наличные.

Данная атака является развитием семейства NGate, которое ESET анализировал в августе 2024 года. Новая версия отличается использованием приложения HandyPay с уже встроенной функцией релейной передачи NFC-данных, что, по мнению экспертов, удешевляет и делает атаки менее заметными. Исследователи также обнаружили эмодзи в коде, что может указывать на применение генеративного ИИ при его создании.

Между тем, как сообщили в пресс-службе «Солар», в российских социальных сетях были выявлены фишинговые сайты, использующие тему автокатастроф для распространения вирусов и кражи персональных данных.