Miután az adathalász lépés megtörtént a WebAPK-n keresztül, a második támadási fázisban az áldozatot ráveszik az NGate telepítésére is. A telepítés után a kártevő aktiválja az „NFCGate” nevű nyílt forráskódú komponenst, amelyet egyetemi kutatók fejlesztettek ki az NFC teszteléséhez. A komponens támogatja az eszközön belüli rögzítési, továbbítási, visszajátszási és klónozási funkciókat, és működéséhez nem szükséges az eszköz „rootolása”.
Az NGate a fertőzött eszköz közvetlen közelében lévő fizetési kártyák NFC adatait rögzíti, majd továbbítja azokat a támadó eszközére, aki ezeket virtuális kártyaként elmentheti a saját eszközén, és készpénzt vehet fel az NFC-t használó ATM-eken, vagy fizethet PoS terminálon keresztül.
A készpénzfelvételhez néha szükség van a kártya PIN kódjára, amelyet social engineering módszerekkel szereznek meg. Miután a PWA/WebAPK adathalász lépés megtörtént, a csalók felhívják az áldozatot, és banki alkalmazottnak adják ki magukat, hogy tájékoztassák egy őket érintő biztonsági incidensről. Ezután SMS-t küldenek egy linkkel az NGate letöltésére, amely állítólag egy olyan alkalmazás, amelyet a meglévő bankkártyájuk és PIN kódjuk ellenőrzésére használhatnak. Miután az áldozat a készülékével beolvassa a kártyát, és a PIN kódot beírva „ellenőrzi” azt, a rosszindulatú szoftver az érzékeny információkat továbbítja a támadónak, lehetővé téve a pénzfelvételt.
Az ESET arra is felhívja a figyelmet, hogy lehetőség van közlekedési jegyek, személyi igazolványok, tagsági kártyák és egyéb NFC alapú technológiák klónozására is, így a közvetlen pénzvesztés nem az egyetlen rossz forgatókönyv.
A Google tájékoztatása szerint, az Android felhasználókat a Google Play Protect védi a rosszindulatú szoftver ismert változataival szemben. Ez alapértelmezés szerint be van kapcsolva a Google Play szolgáltatással rendelkező Android eszközökön.
