
Il Portafoglio Trasparente
Puntata 2 — NGate, RatOn e SuperCard X: come un progetto di ricerca universitario è diventato un'arma criminale operativa in tre paesi europei.
Questa puntata ricostruisce, tecnicamente, come un tool di ricerca universitario sia diventato la base di tre famiglie di malware attive in almeno quattro paesi.
- NFCGate, sviluppato nel 2015 dalla TU Darmstadt per studiare gli attacchi relay su NFC, è stato "riconfezionato" in NGate, il primo malware Android documentato capace di clonare e relayare dati di carte fisiche — prima ondata in Repubblica Ceca (2023-2024), poi in Polonia (novembre 2025).
- Lo schema tecnico è quasi sempre lo stesso: registrazione dell'app come servizio di pagamento HCE, ingegneria sociale per farsi consegnare il PIN, esfiltrazione dei dati verso un complice che li usa altrove in tempo reale.
- RatOn (ThreatFabric, settembre 2025) porta il modello oltre il semplice relay: prende il controllo di wallet crypto (MetaMask, Trust, Phantom), automatizza bonifici su un'app bancaria ceca, e usa persino un falso "ransomware" per estorcere le vittime.
- SuperCard X (Cleafy, aprile 2025) è la variante che ha colpito direttamente l'Italia: quasi invisibile agli antivirus, venduta come servizio via Telegram, agnostica rispetto alla banca della vittima.
- Nel 2026 la famiglia continua a evolversi (variante via app HandyPay in Brasile) e resta confinata ad Android: il modello di sicurezza di iOS rende impossibile, oggi, lo stesso tipo di attacco.
01 / Genesi di un'arma: da Darmstadt al crimine
Per capire NGate bisogna partire non da un covo di criminali, ma da un laboratorio universitario tedesco.
Nel 2015 un gruppo di ricercatori del Secure Mobile Networking Lab della Technical University of Darmstadt sviluppò NFCGate: uno strumento open source, pubblicato su GitHub, capace di catturare, analizzare e relayare — ritrasmettere in tempo reale tra due dispositivi Android, attraverso un server — il traffico NFC. L'obiettivo era accademico: dimostrare che gli attacchi relay contro l'NFC erano tecnicamente possibili, per spingere l'industria dei pagamenti a progettare contromisure.
Per quasi un decennio NFCGate è rimasto quello che era nato per essere: un tool di ricerca, citato in paper accademici, usato da chi studiava la sicurezza dei pagamenti contactless. Poi, tra la fine del 2023 e l'inizio del 2024, qualcuno ha capito che la stessa capacità — relayare un segnale NFC da un telefono a un altro attraverso internet — poteva essere riconfezionata in un'arma di furto bancario.
02 / La prima ondata: Repubblica Ceca, 2023-2024
Secondo l'analisi tecnica pubblicata da ESET Research il 22 agosto 2024 — la fonte primaria su cui si basa gran parte di questa puntata — un gruppo criminale ha operato in Cechia almeno dal novembre 2023, inizialmente con Progressive Web App (PWA) di phishing che imitavano i siti di tre banche ceche: Česká spořitelna, Komerční banka e Raiffeisenbank. Il vettore d'ingresso era — ed è rimasto, in tutte le varianti successive — un SMS che sfruttava un pretesto plausibile: nel caso ceco originale, una presunta dichiarazione dei redditi da verificare.
Il 6 marzo 2024, ESET osserva che sugli stessi domini di distribuzione compare una nuova app, più sofisticata della semplice pagina di phishing: è la prima comparsa pubblica di quello che il ricercatore Lukáš Štefanko, che l'ha scoperta, battezza NGate — un nome che richiama esplicitamente NFCGate, lo strumento di cui riusa il cuore tecnico.
03 / Anatomia tecnica: come funziona NGate
Ricostruzione tecnica basata sulle analisi pubbliche di ESET Research e CERT Polska (quest'ultima relativa alla campagna polacca, vedi sezione successiva, ma che descrive lo stesso meccanismo di fondo):
1. Registrazione come servizio di pagamento (HCE)
Una volta installata, l'app malevola si registra nel sistema Android come Host Card Emulation (HCE) payment service — la stessa funzionalità legittima che usano Google Pay o Samsung Pay. Questo le permette due cose: leggere dati NFC da una carta fisica avvicinata al telefono (modalità reader), e farsi passare essa stessa per una carta di fronte a un lettore (modalità emitter).
2. Ingegneria sociale per ottenere il "tap" e il PIN
Il malware da solo non può nulla senza la cooperazione (inconsapevole) della vittima. Da qui la telefonata del finto operatore, che guida la vittima ad avvicinare la carta fisica al telefono e a digitare il PIN "per la verifica" su una tastiera mostrata dall'app.
3. Cattura ed esfiltrazione
CERT Polska, nella sua analisi tecnica del 3 novembre 2025 sul campione polacco, descrive un dettaglio rilevante: la configurazione del malware — incluso l'indirizzo del server di comando e controllo (C2) — è salvata come asset cifrato con XOR, usando come chiave l'hash SHA-256 del certificato con cui l'APK è firmato. È una tecnica che ostacola l'analisi statica automatica, ma non quella dinamica condotta da un analista esperto: CERT Polska, nel campione che ha esaminato, è riuscita a decifrare la configurazione e a risalire a un server C2 attivo.
Una volta in possesso dei dati EMV completi e del PIN, l'operatore dall'altra parte — su un secondo dispositivo Android con il modulo "emitter" — può presentarsi a un ATM e farsi autorizzare prelievi come se fosse in possesso della carta fisica.
04 / L'escalation: Polonia, novembre 2025
Il 3 novembre 2025 il CERT nazionale polacco (CERT Polska) pubblica un'analisi tecnica che documenta una nuova ondata di campagne NGate contro clienti di banche polacche. Lo schema descritto da CERT Polska è praticamente identico a quello ceco del 2024: phishing iniziale (email o SMS su un presunto problema tecnico), telefonata di "supporto bancario" per legittimare l'installazione dell'app, tap della carta e inserimento del PIN, relay verso un dispositivo dell'attaccante presso un ATM.
Il report ESET H2 2025 (giugno-novembre 2025) aggiunge un dettaglio significativo: una variante di NGate osservata in questo periodo aveva acquisito, per la prima volta, una capacità di raccolta dei contatti della vittima — funzione mai vista prima nella famiglia di malware. ESET ipotizza che serva a preparare nuove ondate di attacco mirate, usando i nomi reali raccolti per rendere più credibili le telefonate di "supporto" verso i contatti della vittima stessa.
05 / RatOn: dal relay NFC al controllo totale del dispositivo
A settembre 2025 ThreatFabric pubblica l'analisi di RatOn, una famiglia di malware che i ricercatori descrivono come "scritta da zero, senza sovrapposizioni di codice con altri trojan bancari Android esistenti" — quindi non una semplice variante di NGate, ma uno sviluppo indipendente che integra una componente di relay NFC (denominata NFSkate) dentro un trojan molto più ambizioso.
I primi campioni risalgono al 5 luglio 2025, con sviluppo attivo osservato fino al 29 agosto 2025. RatOn viene distribuito tramite pagine fasulle del Play Store che si spacciano per una versione "18+" di TikTok, e prende di mira inizialmente utenti in Repubblica Ceca, con la Slovacchia indicata da ThreatFabric come probabile prossimo bersaglio.
Le capacità documentate da ThreatFabric vanno ben oltre il relay NFC:
- Account takeover su wallet crypto — il malware sa navigare autonomamente, tramite i servizi di Accessibilità di Android, le interfacce di MetaMask, Trust Wallet, Blockchain.com e Phantom, sbloccarle con il PIN già rubato e accedere alle sezioni che mostrano la seed phrase, che viene poi catturata da un keylogger e inviata agli attaccanti
- Automated Transfer System (ATS) — un modulo specifico abusa George Česko, una popolare app bancaria ceca, automatizzando l'esecuzione di bonifici cliccando autonomamente sugli elementi dell'interfaccia
- Overlay "ransomware" — schermate che accusano falsamente la vittima di possesso e distribuzione di materiale pedopornografico, chiedendo 200 dollari in criptovaluta entro due ore per "sbloccare" il dispositivo. Lo scopo reale, secondo ThreatFabric, non è l'estorsione in sé ma indurre la vittima ad aprire l'app del wallet crypto sotto pressione, permettendo al malware di catturarne il PIN
È, ad oggi, l'esempio più completo di come un singolo strumento di relay NFC possa essere integrato in un trojan bancario "generalista" capace di colpire conti tradizionali, wallet crypto e di tentare l'estorsione diretta nello stesso pacchetto malevolo.
06 / SuperCard X: la versione italiana, scoperta da Cleafy
Qui la bozza originale di questa inchiesta aveva una lacuna significativa: si concentrava sui casi ceco e polacco, ignorando il caso più rilevante per un lettore italiano. Tra la seconda metà di febbraio e la fine di aprile 2025, la società italiana di cybersicurezza Cleafy ha identificato e analizzato SuperCard X, una piattaforma malware-as-a-service che ha colpito direttamente clienti di banche italiane, distribuita con nomi-app come "Verifica Carta" o "Sicurezza Carta".
Lo schema, ricostruito da Cleafy e confermato da analisi indipendenti (D3Lab, Cyber Security 360, Securityinfo.it), è una variante particolarmente curata della tecnica TOAD — Telephone-Oriented Attack Delivery:
- SMS o messaggio WhatsApp che simula un alert bancario su un movimento sospetto, con un numero da chiamare
- Al telefono, un finto operatore induce la vittima a comunicare il PIN della carta e a rimuovere eventuali limiti di spesa dall'app di home banking
- Installazione di un'app di "verifica" che in realtà contiene SuperCard X
- La vittima viene guidata ad avvicinare la carta fisica al telefono infetto: l'app legge i dati tramite NFC, inclusi i messaggi ATR (Answer To Reset) che permettono di far riconoscere la carta clonata come autentica da POS e ATM
- I dati vengono trasmessi in tempo reale a un secondo dispositivo ("Tapper") che esegue pagamenti contactless o prelievi, di importo volutamente contenuto per non innescare gli antifrode
Cleafy segnala alcuni elementi che rendono SuperCard X particolarmente difficile da individuare: richiede permessi Android minimi, non intercetta SMS né usa overlay invasivi (i comportamenti che gli antivirus comportamentali tendono a sorvegliare), e al momento della scoperta non risultava rilevato da alcun motore antivirus su VirusTotal. La piattaforma viene promossa e supportata tramite canali Telegram, con build personalizzabili per istituto bancario bersaglio — il modello MaaS che caratterizza ormai gran parte di questo ecosistema. Cleafy nota inoltre come SuperCard X, a differenza di NGate, non sia legato a una banca specifica: colpisce in modo agnostico chiunque usi una carta contactless, ampliando il bacino di rischio dai soli clienti bancari ai fornitori di pagamento e agli emittenti di carte in generale.
07 / Aggiornamento 2026: la famiglia NGate continua a evolversi
Il 21 aprile 2026 — pochi mesi prima della pubblicazione di questa puntata — ESET Research ha documentato una nuova variante NGate attiva dal novembre 2025, che colpisce utenti in Brasile abusando non più di NFCGate ma di HandyPay, un'applicazione legittima disponibile su Google Play dal 2021 e usata per condividere l'NFC tra dispositivi (ad esempio per far usare la propria carta a un familiare). Gli attaccanti hanno "trojanizzato" una copia di HandyPay, e ESET nota un dettaglio insolito: il codice malevolo conserva emoji tipiche di testo generato da un modello linguistico, indizio che gli sviluppatori potrebbero aver usato strumenti di AI generativa per accelerare la modifica del codice.
È un segnale di tendenza più ampio: secondo lo stesso report ESET H2 2025, sono comparse anche varianti come PhantomCard che hanno colpito il Brasile attraverso false app di banche locali, e l'intero ecosistema si sta spostando verso un modello in cui gli aggressori non devono più sviluppare strumenti di relay da zero, ma possono acquistare l'accesso a kit MaaS pronti — alcuni dei quali, come NFU Pay e TX-NFC, vengono pubblicizzati apertamente su canali Telegram.
08 / Perché Android, non iPhone
Tutti i casi documentati in questa puntata — NGate, RatOn, SuperCard X, le varianti brasiliane — colpiscono esclusivamente dispositivi Android. Non è un caso: iOS impedisce, per progettazione, l'installazione di app da fonti esterne all'App Store nell'uso normale (senza jailbreak), isola rigidamente ogni app in un sandbox, e riserva l'accesso NFC per l'emulazione di pagamento esclusivamente ad Apple Pay. Un'app di terze parti non può registrarsi come servizio HCE su iOS come avviene invece, legittimamente, su Android.
Non è un giudizio di valore tra i due sistemi operativi — sono scelte di design con compromessi diversi tra apertura e superficie d'attacco — ma è un fatto verificabile: se si usa Android, evitare di installare app fuori da Google Play resta, da solo, la singola precauzione più efficace contro l'intera famiglia di malware descritta in questa puntata. Ne parliamo in modo sistematico nella Puntata 5.
