عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرامج الضارة للأجهزة المحمولة حملة NGate الخبيثة

حملة NGate الخبيثة

بواسطة Mezo في البرامج الضارة للأجهزة المحمولة
ترجمة الى:

رصد محللو الأمن السيبراني نوعًا جديدًا من عائلة برمجيات أندرويد الخبيثة المعروفة باسم NGate، والتي تستغل الآن تطبيقًا شرعيًا يُدعى HandyPay بدلًا من الاعتماد على NFCGate. يُشير هذا التطور إلى تحول في استراتيجية المهاجمين، حيث يستغلون أدوات موثوقة لتعزيز فعالية عملياتهم الخبيثة وسرية تنفيذها.

قام المهاجمون بتعديل تطبيق HandyPay، المصمم أصلاً لنقل بيانات NFC، عن طريق حقن برمجيات خبيثة. وتشير الدلائل إلى أن أجزاءً من هذه البرمجيات ربما تم إنشاؤها باستخدام الذكاء الاصطناعي.

على غرار الإصدارات السابقة من برنامج NGate، يُمكّن هذا التطبيق المُعدّل المهاجمين من اعتراض بيانات تقنية الاتصال قريب المدى (NFC) ونقلها من بطاقة دفع الضحية إلى جهاز تحت سيطرتهم. وتُستخدم هذه البيانات المسروقة لاحقًا في عمليات سحب نقدي من أجهزة الصراف الآلي بدون تلامس، بالإضافة إلى إجراء معاملات غير مصرح بها.

بالإضافة إلى اعتراض البيانات، فإن البرامج الضارة قادرة على التقاط رقم التعريف الشخصي لبطاقة الدفع الخاصة بالضحية وإرساله إلى خادم التحكم والسيطرة عن بعد، مما يزيد بشكل كبير من خطر التعرض للاختراق المالي.

من NFSkate إلى RatOn: دليل عمل البرامج الضارة المتوسع

ظهرت NGate، المعروفة أيضاً باسم NFSkate، علناً لأول مرة في أغسطس 2024 عندما وثّق الباحثون قدرتها على تنفيذ هجمات إعادة توجيه NFC بهدف جمع بيانات الدفع غير التلامسي لاستخدامها في عمليات احتيال. ومع مرور الوقت، تطورت آليات عملها وتكتيكاتها التشغيلية.

بحلول عام 2025، أطلقت حملة مماثلة تُعرف باسم RatOn تطبيقات برمجية خبيثة مُقنّعة على هيئة نسخ مُخصصة للبالغين من تطبيق TikTok. استُخدمت هذه التطبيقات المُضللة لنشر NGate وتنفيذ هجمات إعادة توجيه NFC، مما يُظهر تطورًا متزايدًا في أساليب الهندسة الاجتماعية.

البرازيل تحت المجهر: ظهور حملة مُستهدفة

تمثل حملة NGate الأخيرة تحولاً ملحوظاً في الاستهداف الجغرافي، حيث تركز بشكل أساسي على المستخدمين في البرازيل. وتُعد هذه أول حالة معروفة لبرمجية خبيثة مصممة خصيصاً لجمهور أمريكا الجنوبية.

تعتمد أساليب التوزيع بشكل كبير على الخداع. يستخدم المهاجمون مواقع إلكترونية مزيفة تنتحل صفة "ريو دي بريميوس"، وهي يانصيب تابع لهيئة اليانصيب في ولاية ريو دي جانيرو، بالإضافة إلى صفحات احتيالية على متجر جوجل بلاي تروج لتطبيق مزعوم لحماية البطاقات. صُممت هذه القنوات لتضليل المستخدمين وحملهم على تنزيل نسخة مُخترقة من تطبيق HandyPay.

سلسلة العدوى: كيف يتم التلاعب بالضحايا

تعتمد سلسلة الهجوم على هندسة اجتماعية وتفاعل المستخدم مُنسقين بعناية:

  • يتم استدراج الضحايا عبر موقع إلكتروني مزيف لليانصيب، ويُطلب منهم إرسال رسالة عبر تطبيق واتساب للمطالبة بالجوائز.
  • يتم توجيه المستخدمين لتنزيل نسخة مُخترقة من تطبيق HandyPay
  • يطلب التطبيق تعيينه كتطبيق الدفع الافتراضي عند التثبيت
  • يُطلب من الضحايا إدخال رقم التعريف الشخصي لبطاقة الدفع الخاصة بهم وتمرير بطاقتهم على الجهاز
  • يتم التقاط بيانات تقنية الاتصال قريب المدى (NFC) ونقلها في الوقت الفعلي إلى جهاز يتحكم فيه المهاجم

    • بمجرد تنفيذ العملية، يحصل المهاجمون على القدرة على إجراء عمليات سحب غير مصرح بها من أجهزة الصراف الآلي ومعاملات الدفع باستخدام بيانات الاعتماد المسروقة.

    التخفي والاستراتيجية: لماذا تم اختيار هاندي باي؟

    تُظهر هذه الحملة، التي يُعتقد أنها بدأت حوالي نوفمبر 2025، تحولاً متعمداً في الأدوات المستخدمة. لم يتم توزيع النسخة الخبيثة من تطبيق HandyPay عبر متجر Google Play الرسمي، مما يؤكد اعتماد المهاجمين كلياً على أساليب التوزيع الخادعة.
    من المرجح أن عدة عوامل قد أثرت على قرار استخدام تطبيق HandyPay كسلاح. فتكلفته المنخفضة مقارنةً بالحلول الأخرى، والتي غالبًا ما تتجاوز 400 دولار شهريًا، تجعله خيارًا اقتصاديًا للمهاجمين. إضافةً إلى ذلك، لا يتطلب التطبيق أذونات خاصة، إذ يكفي تعيينه كتطبيق الدفع الافتراضي. وهذا يقلل من الشكوك ويزيد من احتمالية تثبيته بنجاح.

    بدأت شركة HandyPay تحقيقاً داخلياً استجابةً لإساءة استخدام منصتها.

    الذكاء الاصطناعي في تطوير البرمجيات الخبيثة: مصدر قلق متزايد

    كشف التحليل التقني للبرمجية الخبيثة عن عناصر غير مألوفة، بما في ذلك وجود رموز تعبيرية (إيموجي) ضمن رسائل التصحيح ورسائل النظام. يشير هذا الشذوذ إلى احتمال تورط نماذج لغوية ضخمة في توليد أو تعديل الشفرة الخبيثة.

    على الرغم من أن نسبة هذه النتائج إلى الذكاء الاصطناعي بشكل قاطع لم تُؤكد بعد، إلا أنها تتوافق مع اتجاه أوسع في هذا المجال، حيث يلجأ مجرمو الإنترنت بشكل متزايد إلى الذكاء الاصطناعي التوليدي لتبسيط عملية تطوير البرمجيات الخبيثة. وهذا يُسهّل عملية التطوير، مما يُمكّن الأفراد ذوي الخبرة التقنية المحدودة من ابتكار تهديدات متطورة.

    مشهد التهديدات المتزايدة: الاحتيال عبر تقنية الاتصال قريب المدى (NFC) في ازدياد

    يُبرز ظهور هذا النوع الجديد من برنامج NGate اتجاهاً متزايداً في عمليات الاحتيال المالي القائمة على تقنية الاتصال قريب المدى (NFC). فبدلاً من الاعتماد على أدوات معروفة مثل NFCGate أو منصات البرمجيات الخبيثة كخدمة، يقوم المهاجمون الآن بإعادة توظيف تطبيقات شرعية مزودة بوظائف NFC مدمجة.

    يعزز هذا النهج كلاً من الكفاءة التشغيلية وقدرات التهرب، مما يشير إلى تطور مثير للقلق في تكتيكات التهديدات المتنقلة ويعزز الحاجة إلى مزيد من اليقظة في أمن المدفوعات عبر الهاتف المحمول.

    الشائع

    تأكيد تحديث جديد لأمان الخصوصية - رسالة بريد...

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    يجب التعامل بحذر مع رسائل البريد الإلكتروني غير المتوقعة التي تطالب باتخاذ إجراء عاجل. فكثيراً ما يُخفي مجرمو الإنترنت رسائلهم الخبيثة تحت ستار إشعارات رسمية لاستغلال الثقة وإثارة الذعر. ومن الضروري إدراك أن عمليات الاحتيال، مثل رسائل "تأكيد تحديث أمان الخصوصية الجديد"، لا ترتبط بأي شركات أو مؤسسات أو جهات شرعية، مهما بدت رسمية. نظرة فاحصة على عملية الاحتيال المتعلقة بـ "تحديث أمان الخصوصية"....

    الأكثر مشاهدة

    جار التحميل...