Puntata 2 — NGate & SuperCard X — Il Portafoglio Trasparente — effedc.it
Inchiesta · effedc.it · 5 puntate

Il Portafoglio Trasparente

Puntata 2 — NGate, RatOn e SuperCard X: come un progetto di ricerca universitario è diventato un'arma criminale operativa in tre paesi europei.

effedc.it Giugno 2026 Dati aggiornati al 30 giugno 2026 Inchiesta Puntata 2 / 5
In sintesi

Questa puntata ricostruisce, tecnicamente, come un tool di ricerca universitario sia diventato la base di tre famiglie di malware attive in almeno quattro paesi.

  • NFCGate, sviluppato nel 2015 dalla TU Darmstadt per studiare gli attacchi relay su NFC, è stato "riconfezionato" in NGate, il primo malware Android documentato capace di clonare e relayare dati di carte fisiche — prima ondata in Repubblica Ceca (2023-2024), poi in Polonia (novembre 2025).
  • Lo schema tecnico è quasi sempre lo stesso: registrazione dell'app come servizio di pagamento HCE, ingegneria sociale per farsi consegnare il PIN, esfiltrazione dei dati verso un complice che li usa altrove in tempo reale.
  • RatOn (ThreatFabric, settembre 2025) porta il modello oltre il semplice relay: prende il controllo di wallet crypto (MetaMask, Trust, Phantom), automatizza bonifici su un'app bancaria ceca, e usa persino un falso "ransomware" per estorcere le vittime.
  • SuperCard X (Cleafy, aprile 2025) è la variante che ha colpito direttamente l'Italia: quasi invisibile agli antivirus, venduta come servizio via Telegram, agnostica rispetto alla banca della vittima.
  • Nel 2026 la famiglia continua a evolversi (variante via app HandyPay in Brasile) e resta confinata ad Android: il modello di sicurezza di iOS rende impossibile, oggi, lo stesso tipo di attacco.

01 / Genesi di un'arma: da Darmstadt al crimine

Per capire NGate bisogna partire non da un covo di criminali, ma da un laboratorio universitario tedesco.

Nel 2015 un gruppo di ricercatori del Secure Mobile Networking Lab della Technical University of Darmstadt sviluppò NFCGate: uno strumento open source, pubblicato su GitHub, capace di catturare, analizzare e relayare — ritrasmettere in tempo reale tra due dispositivi Android, attraverso un server — il traffico NFC. L'obiettivo era accademico: dimostrare che gli attacchi relay contro l'NFC erano tecnicamente possibili, per spingere l'industria dei pagamenti a progettare contromisure.

Per quasi un decennio NFCGate è rimasto quello che era nato per essere: un tool di ricerca, citato in paper accademici, usato da chi studiava la sicurezza dei pagamenti contactless. Poi, tra la fine del 2023 e l'inizio del 2024, qualcuno ha capito che la stessa capacità — relayare un segnale NFC da un telefono a un altro attraverso internet — poteva essere riconfezionata in un'arma di furto bancario.

02 / La prima ondata: Repubblica Ceca, 2023-2024

Secondo l'analisi tecnica pubblicata da ESET Research il 22 agosto 2024 — la fonte primaria su cui si basa gran parte di questa puntata — un gruppo criminale ha operato in Cechia almeno dal novembre 2023, inizialmente con Progressive Web App (PWA) di phishing che imitavano i siti di tre banche ceche: Česká spořitelna, Komerční banka e Raiffeisenbank. Il vettore d'ingresso era — ed è rimasto, in tutte le varianti successive — un SMS che sfruttava un pretesto plausibile: nel caso ceco originale, una presunta dichiarazione dei redditi da verificare.

Il 6 marzo 2024, ESET osserva che sugli stessi domini di distribuzione compare una nuova app, più sofisticata della semplice pagina di phishing: è la prima comparsa pubblica di quello che il ricercatore Lukáš Štefanko, che l'ha scoperta, battezza NGate — un nome che richiama esplicitamente NFCGate, lo strumento di cui riusa il cuore tecnico.

Un dettaglio che i resoconti più sensazionalistici omettono ESET segnala esplicitamente che ritiene le attività del gruppo ceco interrotte dopo l'arresto di un sospettato nel marzo 2024. Non è una storia di impunità totale: è una storia in cui lo strumento sopravvive al gruppo che lo ha usato per primo, e viene ripreso da altri.
Caso illustrativo. Negli articoli divulgativi sull'NGate ceco ricorre spesso il profilo di una vittima tipo: una persona che riceve un SMS bancario allarmante, scarica un'app di "verifica sicurezza", riceve una telefonata da un finto operatore che la guida ad avvicinare la carta al telefono e a inserire il PIN. È lo schema operativo descritto da ESET — non il resoconto di un caso giudiziario specifico con nome e città verificabili, che le fonti pubbliche non riportano.

03 / Anatomia tecnica: come funziona NGate

Ricostruzione tecnica basata sulle analisi pubbliche di ESET Research e CERT Polska (quest'ultima relativa alla campagna polacca, vedi sezione successiva, ma che descrive lo stesso meccanismo di fondo):

1. Registrazione come servizio di pagamento (HCE)

Una volta installata, l'app malevola si registra nel sistema Android come Host Card Emulation (HCE) payment service — la stessa funzionalità legittima che usano Google Pay o Samsung Pay. Questo le permette due cose: leggere dati NFC da una carta fisica avvicinata al telefono (modalità reader), e farsi passare essa stessa per una carta di fronte a un lettore (modalità emitter).

2. Ingegneria sociale per ottenere il "tap" e il PIN

Il malware da solo non può nulla senza la cooperazione (inconsapevole) della vittima. Da qui la telefonata del finto operatore, che guida la vittima ad avvicinare la carta fisica al telefono e a digitare il PIN "per la verifica" su una tastiera mostrata dall'app.

3. Cattura ed esfiltrazione

CERT Polska, nella sua analisi tecnica del 3 novembre 2025 sul campione polacco, descrive un dettaglio rilevante: la configurazione del malware — incluso l'indirizzo del server di comando e controllo (C2) — è salvata come asset cifrato con XOR, usando come chiave l'hash SHA-256 del certificato con cui l'APK è firmato. È una tecnica che ostacola l'analisi statica automatica, ma non quella dinamica condotta da un analista esperto: CERT Polska, nel campione che ha esaminato, è riuscita a decifrare la configurazione e a risalire a un server C2 attivo.

Cosa scegliamo di non pubblicare L'analisi originale che ha ispirato questa puntata riportava un indirizzo IP e una porta specifici come indicatore di compromissione. Non avendo potuto verificare quel dato su una fonte pubblica primaria, lo omettiamo: un IOC sbagliato pubblicato come fatto è peggio di nessun IOC. Chi cerca indicatori di compromissione aggiornati può consultare direttamente i bollettini CERT Polska e i feed pubblici di ESET, linkati in fondo a questa puntata.

Una volta in possesso dei dati EMV completi e del PIN, l'operatore dall'altra parte — su un secondo dispositivo Android con il modulo "emitter" — può presentarsi a un ATM e farsi autorizzare prelievi come se fosse in possesso della carta fisica.

04 / L'escalation: Polonia, novembre 2025

Il 3 novembre 2025 il CERT nazionale polacco (CERT Polska) pubblica un'analisi tecnica che documenta una nuova ondata di campagne NGate contro clienti di banche polacche. Lo schema descritto da CERT Polska è praticamente identico a quello ceco del 2024: phishing iniziale (email o SMS su un presunto problema tecnico), telefonata di "supporto bancario" per legittimare l'installazione dell'app, tap della carta e inserimento del PIN, relay verso un dispositivo dell'attaccante presso un ATM.

Il report ESET H2 2025 (giugno-novembre 2025) aggiunge un dettaglio significativo: una variante di NGate osservata in questo periodo aveva acquisito, per la prima volta, una capacità di raccolta dei contatti della vittima — funzione mai vista prima nella famiglia di malware. ESET ipotizza che serva a preparare nuove ondate di attacco mirate, usando i nomi reali raccolti per rendere più credibili le telefonate di "supporto" verso i contatti della vittima stessa.

05 / RatOn: dal relay NFC al controllo totale del dispositivo

A settembre 2025 ThreatFabric pubblica l'analisi di RatOn, una famiglia di malware che i ricercatori descrivono come "scritta da zero, senza sovrapposizioni di codice con altri trojan bancari Android esistenti" — quindi non una semplice variante di NGate, ma uno sviluppo indipendente che integra una componente di relay NFC (denominata NFSkate) dentro un trojan molto più ambizioso.

I primi campioni risalgono al 5 luglio 2025, con sviluppo attivo osservato fino al 29 agosto 2025. RatOn viene distribuito tramite pagine fasulle del Play Store che si spacciano per una versione "18+" di TikTok, e prende di mira inizialmente utenti in Repubblica Ceca, con la Slovacchia indicata da ThreatFabric come probabile prossimo bersaglio.

Le capacità documentate da ThreatFabric vanno ben oltre il relay NFC:

  • Account takeover su wallet crypto — il malware sa navigare autonomamente, tramite i servizi di Accessibilità di Android, le interfacce di MetaMask, Trust Wallet, Blockchain.com e Phantom, sbloccarle con il PIN già rubato e accedere alle sezioni che mostrano la seed phrase, che viene poi catturata da un keylogger e inviata agli attaccanti
  • Automated Transfer System (ATS) — un modulo specifico abusa George Česko, una popolare app bancaria ceca, automatizzando l'esecuzione di bonifici cliccando autonomamente sugli elementi dell'interfaccia
  • Overlay "ransomware" — schermate che accusano falsamente la vittima di possesso e distribuzione di materiale pedopornografico, chiedendo 200 dollari in criptovaluta entro due ore per "sbloccare" il dispositivo. Lo scopo reale, secondo ThreatFabric, non è l'estorsione in sé ma indurre la vittima ad aprire l'app del wallet crypto sotto pressione, permettendo al malware di catturarne il PIN

È, ad oggi, l'esempio più completo di come un singolo strumento di relay NFC possa essere integrato in un trojan bancario "generalista" capace di colpire conti tradizionali, wallet crypto e di tentare l'estorsione diretta nello stesso pacchetto malevolo.

06 / SuperCard X: la versione italiana, scoperta da Cleafy

Qui la bozza originale di questa inchiesta aveva una lacuna significativa: si concentrava sui casi ceco e polacco, ignorando il caso più rilevante per un lettore italiano. Tra la seconda metà di febbraio e la fine di aprile 2025, la società italiana di cybersicurezza Cleafy ha identificato e analizzato SuperCard X, una piattaforma malware-as-a-service che ha colpito direttamente clienti di banche italiane, distribuita con nomi-app come "Verifica Carta" o "Sicurezza Carta".

Lo schema, ricostruito da Cleafy e confermato da analisi indipendenti (D3Lab, Cyber Security 360, Securityinfo.it), è una variante particolarmente curata della tecnica TOAD — Telephone-Oriented Attack Delivery:

  1. SMS o messaggio WhatsApp che simula un alert bancario su un movimento sospetto, con un numero da chiamare
  2. Al telefono, un finto operatore induce la vittima a comunicare il PIN della carta e a rimuovere eventuali limiti di spesa dall'app di home banking
  3. Installazione di un'app di "verifica" che in realtà contiene SuperCard X
  4. La vittima viene guidata ad avvicinare la carta fisica al telefono infetto: l'app legge i dati tramite NFC, inclusi i messaggi ATR (Answer To Reset) che permettono di far riconoscere la carta clonata come autentica da POS e ATM
  5. I dati vengono trasmessi in tempo reale a un secondo dispositivo ("Tapper") che esegue pagamenti contactless o prelievi, di importo volutamente contenuto per non innescare gli antifrode

Cleafy segnala alcuni elementi che rendono SuperCard X particolarmente difficile da individuare: richiede permessi Android minimi, non intercetta SMS né usa overlay invasivi (i comportamenti che gli antivirus comportamentali tendono a sorvegliare), e al momento della scoperta non risultava rilevato da alcun motore antivirus su VirusTotal. La piattaforma viene promossa e supportata tramite canali Telegram, con build personalizzabili per istituto bancario bersaglio — il modello MaaS che caratterizza ormai gran parte di questo ecosistema. Cleafy nota inoltre come SuperCard X, a differenza di NGate, non sia legato a una banca specifica: colpisce in modo agnostico chiunque usi una carta contactless, ampliando il bacino di rischio dai soli clienti bancari ai fornitori di pagamento e agli emittenti di carte in generale.

07 / Aggiornamento 2026: la famiglia NGate continua a evolversi

Il 21 aprile 2026 — pochi mesi prima della pubblicazione di questa puntata — ESET Research ha documentato una nuova variante NGate attiva dal novembre 2025, che colpisce utenti in Brasile abusando non più di NFCGate ma di HandyPay, un'applicazione legittima disponibile su Google Play dal 2021 e usata per condividere l'NFC tra dispositivi (ad esempio per far usare la propria carta a un familiare). Gli attaccanti hanno "trojanizzato" una copia di HandyPay, e ESET nota un dettaglio insolito: il codice malevolo conserva emoji tipiche di testo generato da un modello linguistico, indizio che gli sviluppatori potrebbero aver usato strumenti di AI generativa per accelerare la modifica del codice.

È un segnale di tendenza più ampio: secondo lo stesso report ESET H2 2025, sono comparse anche varianti come PhantomCard che hanno colpito il Brasile attraverso false app di banche locali, e l'intero ecosistema si sta spostando verso un modello in cui gli aggressori non devono più sviluppare strumenti di relay da zero, ma possono acquistare l'accesso a kit MaaS pronti — alcuni dei quali, come NFU Pay e TX-NFC, vengono pubblicizzati apertamente su canali Telegram.

08 / Perché Android, non iPhone

Tutti i casi documentati in questa puntata — NGate, RatOn, SuperCard X, le varianti brasiliane — colpiscono esclusivamente dispositivi Android. Non è un caso: iOS impedisce, per progettazione, l'installazione di app da fonti esterne all'App Store nell'uso normale (senza jailbreak), isola rigidamente ogni app in un sandbox, e riserva l'accesso NFC per l'emulazione di pagamento esclusivamente ad Apple Pay. Un'app di terze parti non può registrarsi come servizio HCE su iOS come avviene invece, legittimamente, su Android.

Non è un giudizio di valore tra i due sistemi operativi — sono scelte di design con compromessi diversi tra apertura e superficie d'attacco — ma è un fatto verificabile: se si usa Android, evitare di installare app fuori da Google Play resta, da solo, la singola precauzione più efficace contro l'intera famiglia di malware descritta in questa puntata. Ne parliamo in modo sistematico nella Puntata 5.

Nella prossima puntata seguiamo i soldi: il mercato nero degli strumenti di attacco, l'industria multimiliardaria della protezione RFID che prospera sulla stessa paura che i criminali sfruttano, e i conflitti d'interesse strutturali che attraversano entrambi i lati di questo business.

09 / Fonti di questa puntata

01ESET Research — NGate Android malware relays NFC traffic to steal cashwelivesecurity.com, 22 ago. 2024
02CERT Polska — Analiza kampanii malware NGate (NFC relay)cert.pl, 3 nov. 2025
03Malwarebytes — Android malware steals your card details and PIN to make instant ATM withdrawalsmalwarebytes.com, 6 nov. 2025
04ESET — Threat Report H2 2025 (variante con raccolta contatti; PhantomCard in Brasile)welivesecurity.com
05ThreatFabric — The Rise of RatOn: From NFC heists to remote control and ATSthreatfabric.com, 9 set. 2025
06The Hacker News — RatOn Android Malware Detected With NFC Relay and ATS Banking Fraud Capabilitiesthehackernews.com, 9 set. 2025
07Cleafy — analisi tecnica SuperCard X, ripresa da D3Lab, Cyber Security 360, Securityinfo.it, HWUpgradeapr. 2025
08ESET Research — New NGate variant hides in a trojanized NFC payment app (HandyPay, Brasile)welivesecurity.com, 21 apr. 2026
09NFCGate — repository originale del progetto di ricerca, TU Darmstadtgithub.com/nfcgate