TL;DR

ESET Research vừa công bố (21/04/2026) biến thể mới của họ malware NGate: thay vì tự build lại công cụ NFCGate như trước, kẻ tấn công đã trojan hoá HandyPay — một ứng dụng Android hợp pháp chuyên relay dữ liệu NFC. Code chèn thêm có dấu hiệu được AI sinh ra. Chiến dịch phát tán qua website giả mạo xổ số Rio de Prêmios và trang Google Play giả với tên Proteção Cartão, nhắm người dùng Android tại Brazil từ tháng 11/2025. Mục tiêu: relay NFC của thẻ thanh toán về máy kẻ tấn công để rút tiền ATM không tiếp xúc và lấy cắp PIN.

Có gì mới

NGate không phải họ malware mới — ESET đã lần đầu mô tả nó năm 2024 khi nhóm tội phạm người Séc dùng NFCGate (công cụ nghiên cứu của TU Darmstadt) để rút tiền ATM của khách Raiffeisenbank và ČSOB. Biến thể 2026 khác ở hai điểm then chốt:

  • Mang ký sinh trong app hợp pháp. Thay vì build custom, kẻ tấn công tải HandyPay về, vá thêm code độc, rồi ký lại APK. Người dùng cài nhầm gần như không có cách phát hiện bằng mắt thường.
  • Code có dấu vết AI. Theo ESET, cấu trúc và phong cách code chèn vào trông giống output của LLM hơn là của lập trình viên. Đây cũng là xu hướng ESET cảnh báo trong Threat Report H2 2025.

Người phát hiện: Lukáš Štefanko, nhà nghiên cứu của ESET.

Vì sao đáng quan tâm

Ba lý do khiến NGate/HandyPay là mốc đáng lo:

  1. Thẻ vật lý không còn an toàn với tap-to-pay. NGate không đánh cắp số thẻ tĩnh — nó relay mã động NFC trong thời gian hiệu lực vài giây, đủ để một đồng phạm đứng tại ATM rút tiền thật.
  2. Rào cản kỹ thuật đang thấp xuống. Trojan hoá app có sẵn + AI viết phần code độc nghĩa là không cần đội engineering hùng hậu. Kỳ vọng nhiều biến thể tương tự trong 2026.
  3. LATAM là mặt trận nóng. Cùng thời điểm này, Brazil còn đang đối phó PhantomCard, RelayNFC và RatOn — cả họ mã độc NFC relay đang bùng phát ở khu vực.

Chi tiết kỹ thuật

ESET phân tích hai mẫu trong đợt công bố:

MẫuKênh phát tánVỏ bọc
Mẫu 1Site giả Rio de Prêmios (xổ số Loterj)HandyPay gốc, đổi branding
Mẫu 2Trang Google Play giả mạoỨng dụng “Proteção Cartão” (Bảo vệ thẻ)

Chuỗi tấn công:

  1. Nạn nhân nhấp link giả (xổ số trúng thưởng hoặc “bảo vệ thẻ”), tải APK ngoài Play Store.
  2. App yêu cầu nhập ID ngân hàng, ngày sinh, PIN thẻ qua giao diện phishing overlay.
  3. App bật NFC, yêu cầu nạn nhân đặt thẻ vật lý ra mặt sau điện thoại.
  4. Dữ liệu NFC được relay real-time qua server C&C đến thiết bị Android đã root của kẻ tấn công.
  5. Đồng phạm ở ATM dùng điện thoại root giả lập thẻ + PIN đã phishing → rút tiền mặt không tiếp xúc.

Điểm kỹ thuật đáng nhớ từ thế hệ NGate gốc: chỉ máy kẻ tấn công cần root, máy nạn nhân không cần — giảm rào cản triển khai đáng kể.

So sánh với NGate 2023–2024

Yếu tốNGate gốc (Séc, 2023–24)NGate HandyPay (Brazil, 2025–26)
Công cụ relayNFCGate (tự build)HandyPay trojan hoá
Nguồn gốc code độcTự viếtNghi AI sinh ra
Mồi nhửTin nhắn “hoàn thuế” + app ngân hàng giảXổ số Rio de Prêmios + “Proteção Cartão”
Mục tiêuKhách Raiffeisenbank, ČSOBNgười dùng Android Brazil
Bắt đầu11/202311/2025
Trạng tháiTạm dừng sau khi bắt nghi phạm 3/2024Đang hoạt động

Kẻ tấn công dùng dữ liệu ra sao

  • Rút tiền ATM không tiếp xúc: tap điện thoại root ở ATM, nhập PIN đã phishing, rút cash.
  • Thanh toán POS: dùng dữ liệu NFC trong cửa sổ hiệu lực ngắn để mua hàng.
  • Chuyển khoản trực tiếp (fallback): nếu relay fail về mặt thời gian, dùng credential ngân hàng đã lấy được để chuyển tiền — chiến thuật đã thấy ở làn sóng 2024.

Hạn chế & phạm vi

  • Chỉ Android. iPhone không bị ảnh hưởng bởi họ này do hạn chế API NFC của iOS.
  • APK độc chưa từng lên Google Play chính thức — 100% đến từ sideload qua link giả.
  • Cần thao tác chủ động của nạn nhân: cài APK ngoài store, nhập PIN, chạm thẻ vào máy. Không có con đường lây nhiễm im lặng.
  • Cần đồng phạm có mặt tại ATM trong cửa sổ mã động — đây là phi vụ có tổ chức, không phải tấn công tự động.

Phòng vệ

  • Chỉ cài app từ Google Play; kiểm tra publisher trước khi bấm “Install”.
  • Tắt NFC khi không thanh toán.
  • Nhận cuộc gọi “bảo mật ngân hàng” bất ngờ → cúp máy, gọi lại số in trên thẻ.
  • Dùng ví số (Google Pay, Samsung Wallet) có khoá sinh trắc học mỗi giao dịch thay vì tap thẻ vật lý.
  • Cảnh giác với SMS/WhatsApp có liên quan đến Rio de Prêmios, Loterj, hoặc Proteção Cartão — các nhãn đang bị lợi dụng.

Tiếp theo

ESET H2 2025 Threat Report đã đánh dấu hai xu hướng đan chéo nhau: malware có hỗ trợ AI và tấn công NFC/tap-to-pay. NGate/HandyPay là điểm giao của cả hai. Expect: (1) nhiều app hợp pháp khác bị trojan hoá theo công thức tương tự, (2) biến thể nhắm các thị trường NFC phổ biến khác ngoài Brazil, (3) phản ứng từ Google Play Protect và các nhà phát hành ví số để rút ngắn cửa sổ hiệu lực mã động.

Nguồn: ESET WeLiveSecurity, ESET Press Release, Malwarebytes Labs, ESET Threat Report H2 2025.