Злонамерена кампания на NGate
Анализатори по киберсигурност са идентифицирали нов вариант от семейството зловреден софтуер за Android, известен като NGate, който сега използва легитимно приложение, наречено HandyPay, вместо да разчита на NFCGate. Тази еволюция подчертава промяна в стратегията на нападателите, използващи надеждни инструменти за повишаване на ефективността и скритността на злонамерените операции.
Нападателите са модифицирали HandyPay, приложение, първоначално проектирано за предаване на NFC данни, чрез инжектиране на зловреден код. Индикаторите сочат, че части от този код може да са генерирани с помощта на изкуствен интелект.
Подобно на по-ранните варианти на NGate, това модифицирано приложение позволява на нападателите да прихващат и прехвърлят NFC данни от платежната карта на жертвата към устройство под техен контрол. Тези откраднати данни впоследствие се използват за безконтактно теглене на пари от банкомати и неоторизирани транзакции.
В допълнение към прихващането на данни, зловредният софтуер е способен да улови ПИН кода на платежната карта на жертвата и да го предаде на отдалечен команден и контролен (C2) сървър, което значително увеличава риска от финансов компрометиране.
Съдържание
От NFSkate до RatOn: Разширяващият се наръчник на зловредния софтуер
NGate, известен още като NFSkate, се появи публично за първи път през август 2024 г., когато изследователи документираха способността му да извършва NFC релейни атаки, насочени към събиране на данни за безконтактни плащания за измамна употреба. С течение на времето механизмите му за доставка и оперативните му тактики са се развили.
До 2025 г. свързана кампания, известна като RatOn, въведе приложения за пускане на съдържание, маскирани като версии на TikTok за възрастни. Тези измамни приложения бяха използвани за внедряване на NGate и извършване на NFC релейни атаки, демонстрирайки нарастваща сложност в техниките за социално инженерство.
Бразилия във фокус: Заражда се целенасочена кампания
Последната кампания на NGate представлява забележителна промяна в географското таргетиране, с основен фокус върху потребителите в Бразилия. Това бележи първия известен случай, в който зловредният софтуер е специално пригоден за южноамериканска аудитория.
Методите за разпространение разчитат до голяма степен на измама. Нападателите използват фалшиви уебсайтове, представящи се за Rio de Prêmios, лотария, свързана с щатската лотарийна организация на Рио де Жанейро, както и измамни страници в Google Play Store, рекламиращи предполагаемо приложение за защита на картите. Тези канали са предназначени да подведат потребителите да изтеглят компрометирана версия на HandyPay.
Верига на заразяване: Как се манипулират жертвите
Последователността на атаката разчита на внимателно организирано социално инженерство и взаимодействие с потребителя:
- Жертвите са примамени чрез фалшив уебсайт за лотария и са подканени да изпратят съобщение в WhatsApp, за да заявят печалби.
- Потребителите са пренасочени към изтегляне на троянска версия на HandyPay
- Приложението иска да бъде зададено като приложение за плащане по подразбиране при инсталиране
- Жертвите са инструктирани да въведат ПИН кода на платежната си карта и да я докоснат до устройството
- NFC данните се заснемат и предават в реално време на устройство, контролирано от нападателя
След като бъдат изпълнени, нападателите получават възможността да извършват неоторизирани тегления от банкомат и платежни транзакции, използвайки откраднатите идентификационни данни.
Стелт и стратегия: Защо беше избран HandyPay
Кампанията, за която се смята, че е започнала около ноември 2025 г., демонстрира умишлена промяна в инструментариума. Злонамерената версия на HandyPay никога не е била разпространявана чрез официалния Google Play Store, което потвърждава, че нападателите разчитат изцяло на измамни техники за доставка.
Няколко фактора вероятно са повлияли на решението за превръщане на HandyPay в оръжие. По-ниската му абонаментна цена в сравнение с други решения, често надвишаваща 400 долара на месец, го прави икономичен избор за злонамерените лица. Освен това приложението не изисква специални разрешения, като е необходимо само да бъде зададено като приложение за плащане по подразбиране. Това намалява подозрението и увеличава вероятността за успешна инсталация.
HandyPay започна вътрешно разследване в отговор на злоупотребата с платформата си.
Изкуствен интелект в разработването на зловреден софтуер: нарастващ проблем
Техническият анализ на зловредния софтуер разкри необичайни елементи, включително наличието на емоджита в системните съобщения и съобщенията за отстраняване на грешки. Тази аномалия предполага евентуално участие на големи езикови модели в генерирането или модифицирането на злонамерения код.
Въпреки че окончателното приписване на изкуствения интелект остава непотвърдено, откритията са в съответствие с по-широка тенденция в индустрията, в която киберпрестъпниците все повече използват генеративен изкуствен интелект, за да рационализират разработването на зловреден софтуер. Това намалява бариерата за навлизане, позволявайки на хора с ограничени технически познания да създават сложни заплахи.
Нарастващ пейзаж на заплахите: NFC измамите са във възход
Появата на този нов вариант на NGate подчертава нарастващата тенденция във финансовите измами, базирани на NFC. Вместо да разчитат на установени инструменти като NFCGate или платформи за злонамерен софтуер като услуга, нападателите сега пренасочват легитимни приложения с вградена NFC функционалност.
Този подход подобрява както оперативната ефективност, така и възможностите за избягване на заплахи, сигнализирайки за тревожна еволюция в тактиките за мобилни заплахи и засилвайки необходимостта от повишена бдителност в сигурността на мобилните плащания.
