Malware NGate zneužívá NFC při kyberútocích v Česku stále častější

NGate cílí na uživatele zařízení s platformou Android a je příkladem hrozby, při které útočníci kombinují sociální inženýrství, škodlivý kód a zneužití důvěry uživatelů. Bez aktivní spolupráce oběti se NGate do zařízení nedostane. Přestože společnost ESET na tuto hrozbu upozornila již v létě 2024, data ukazují, že útočníci v regionu Slovenska a Česka zůstávají aktivní a od října 2025 dochází k výraznému zvýšení jejich aktivity.

"U těchto útoků je klíčová důvěra oběti. Útočníci se nespoléhají pouze na technickou stránku malwaru, ale především na přesvědčivý příběh, telefonickou manipulaci a vytvoření pocitu naléhavosti. Uživatel by nikdy neměl instalovat aplikaci na základě telefonátu ani přikládat platební kartu k telefonu na výzvu volajícího nebo neznámé aplikace," říká Lukáš Štefanko, bezpečnostní expert společnosti ESET, který škodlivý kód NGate analyzoval.

Za první čtyři měsíce roku 2026 zaznamenala společnost ESET na zařízeních s platformou Android v Česku a na Slovensku více detekcí škodlivého kódu NGate než za celý rok 2025. Ještě výraznější rozdíl je vidět při meziročním srovnání stejného období - v prvních čtyřech měsících roku 2026 zaznamenala přibližně 15x více detekcí než ve stejném období roku 2025.

Podle analýzy společnosti ESET nejde o náhodné nebo izolované incidenty. Útoky velmi pravděpodobně souvisejí s jedním aktérem nebo organizovanou skupinou.

Přibližně 90 % detekovaných NGate aplikací komunikovalo se stejným serverem kontrolovaným útočníky a exfiltrovalo stejný typ dat včetně NFC tokenů.

Útok začíná telefonátem a manipulací oběti

Malware NGate se do zařízení oběti nedostane bez její aktivní spolupráce. Útoky jsou postavené především na sociálním inženýrství. V mnoha případech instalaci škodlivé aplikace předchází telefonát od útočníka, který se vydává za zaměstnance banky nebo jiné důvěryhodné instituce. Na konci roku 2025 útočníci např. manipulovali své oběti, aby si stáhli do zařízení falešnou aplikaci České národní banky.

Útočník může oběť upozorňovat na údajný problém s bankovním účtem nebo tvrdit, že získala finanční prostředky, které je potřeba převést na platební kartu. Následně se ji snaží přesvědčit, aby si ručně nainstalovala aplikaci z falešné webové stránky nebo přes komunikační aplikace, jako jsou WhatsApp či Telegram.

V některých případech útočníci používají i aplikace pro vzdálenou správu zařízení. Oběť je nejprve navedena, aby si z oficiálního obchodu Google Play nainstalovala legitimně vypadající aplikaci pro vzdálený přístup.

Po udělení oprávnění může útočník přímo v zařízení oběti nainstalovat NGate, aniž by uživatel plně chápal, co se v telefonu děje.

Falešné aplikace napodobují důvěryhodné služby

Podvodné aplikace se vydávají za legitimní finanční služby, nejčastěji za banky, státní instituce nebo kryptoměnové platformy. Jejich cílem je vyvolat důvěru a přesvědčit oběť, že komunikuje s oficiální službou nebo aplikací.

Po spuštění může škodlivá aplikace odeslat kontakty oběti na server útočníků. Zároveň může uživatele vyzvat, aby přiložil platební kartu k zadní straně smartphonu (kde se nachází NFC čip) a následně zadal PIN k platební kartě.

Zajímavým znakem některých detekovaných NGate aplikací bylo, že jejich název obsahoval jméno konkrétního uživatele místo názvu banky nebo služby. To naznačuje vysokou míru personalizace a cílenou manipulaci obětí.

Jak se chránit před zneužitím NFC

Nikdy neinstalujte aplikace na základě telefonátu - banka po vás nebude chtít instalaci aplikace přes telefon ani manipulaci s platební kartou
Buďte obezřetní při telefonátech, které vytvářejí tlak, naléhavost nebo se se odvolávají na problém s účtem
Nepřikládejte platební kartu k telefonu na výzvu volajícího nebo jiné mobilní aplikace
Stahujte aplikace pouze z oficiálních obchodů, a i tam si ověřujte jejich vydavatele
Funkci NFC mějte zapnutou jen tehdy, když ji skutečně používáte
Používejte spolehlivé bezpečnostní řešení pro mobilní zařízení
Nevkládejte PIN platební karty do mobilní aplikace