Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Škodlivá kampaň NGate

Škodlivá kampaň NGate

V roce Mezo v roce Mobilní malware
Přeložit do:

Analytici kybernetické bezpečnosti identifikovali novou variantu malwaru pro Android známou jako NGate, která nyní využívá legitimní aplikaci s názvem HandyPay, místo aby se spoléhala na NFCGate. Tento vývoj zdůrazňuje posun ve strategii útočníků, kteří využívají důvěryhodné nástroje ke zvýšení efektivity a utajení škodlivých operací.

Útočníci upravili aplikaci HandyPay, původně navrženou pro přenos dat NFC, vložením škodlivého kódu. Indikátory naznačují, že části tohoto kódu mohly být generovány pomocí umělé inteligence.

Podobně jako dřívější varianty NGate, i tato upravená aplikace umožňuje útočníkům zachytit a přenést NFC data z platební karty oběti do zařízení, které mají pod kontrolou. Tato ukradená data jsou následně použita pro bezkontaktní výběry z bankomatů a neoprávněné transakce.

Kromě zachycení dat je malware schopen zachytit PIN kód platební karty oběti a přenést jej na vzdálený server Command-and-Control (C2), což výrazně zvyšuje riziko finančního kompromitování.

Od NFSkate k RatOn: Rozšiřující se příručka malwaru

NGate, označovaný také jako NFSkate, se poprvé veřejně objevil v srpnu 2024, kdy vědci zdokumentovali jeho schopnost provádět útoky NFC relay zaměřené na shromažďování dat o bezkontaktních platbách za účelem podvodného použití. Postupem času se jeho mechanismy doručování a operační taktiky vyvíjely.

Do roku 2025 zavedla související kampaň s názvem RatOn aplikace typu dropper maskované jako verze TikToku pro dospělé. Tyto klamavé aplikace byly používány k nasazení NGate a provádění útoků NFC relay, což demonstrovalo rostoucí sofistikovanost technik sociálního inženýrství.

Brazílie v centru pozornosti: Objevuje se cílená kampaň

Nejnovější kampaň NGate představuje významný posun v geografickém cílení s primárním zaměřením na uživatele v Brazílii. Jedná se o první známý případ, kdy byl malware speciálně přizpůsoben jihoamerickému publiku.

Distribuční metody se silně spoléhají na podvod. Útočníci využívají falešné webové stránky, které se vydávají za Rio de Prêmios, loterii spojenou se státní loterijní organizací Rio de Janeiro, a podvodné stránky Obchodu Google Play propagující údajnou aplikaci na ochranu karet. Tyto kanály jsou navrženy tak, aby uživatele oklamaly a přiměly je ke stažení kompromitované verze HandyPay.

Řetězec infekce: Jak jsou oběti manipulovány

Útočná sekvence se opírá o pečlivě zorganizované sociální inženýrství a interakci s uživatelem:

  • Oběti jsou nalákány prostřednictvím falešných webových stránek loterie a vyzvány k napsání zprávy přes WhatsApp, aby si nárokovaly výhru.
  • Uživatelé jsou přesměrováni ke stažení trojské verze HandyPay
  • Aplikace po instalaci požaduje nastavení jako výchozí platební aplikace.
  • Oběti jsou vyzvány k zadání PINu platební karty a přiložení karty k zařízení
  • Data NFC jsou zachycována a v reálném čase přenášena do zařízení ovládaného útočníkem.

Jakmile je proveden, útočníci získají možnost provádět neoprávněné výběry z bankomatů a platební transakce s použitím odcizených přihlašovacích údajů.

Nenápadnost a strategie: Proč byl vybrán HandyPay

Kampaň, o níž se předpokládá, že začala kolem listopadu 2025, demonstruje záměrnou změnu v nástrojích. Škodlivá verze HandyPay nebyla nikdy distribuována prostřednictvím oficiálního obchodu Google Play, což potvrzuje, že útočníci se spoléhají výhradně na klamavé techniky doručování.
Rozhodnutí využít HandyPay jako zbraň pravděpodobně ovlivnilo několik faktorů. Jeho nižší cena předplatného ve srovnání s jinými řešeními, která často přesahuje 400 dolarů měsíčně, z něj činí ekonomickou volbu pro útočníky. Aplikace navíc nevyžaduje zvláštní oprávnění, stačí ji nastavit jako výchozí platební aplikaci. To snižuje podezření a zvyšuje pravděpodobnost úspěšné instalace.

Společnost HandyPay zahájila interní vyšetřování v reakci na zneužívání své platformy.

Umělá inteligence ve vývoji malwaru: Rostoucí obava

Technická analýza malwaru odhalila neobvyklé prvky, včetně přítomnosti emoji v ladicích a systémových zprávách. Tato anomálie naznačuje možné zapojení velkých jazykových modelů do generování nebo úpravy škodlivého kódu.

Ačkoli definitivní přičítání umělé inteligenci zůstává nepotvrzeno, zjištění jsou v souladu s širším trendem v odvětví, v němž kyberzločinci stále více využívají generativní umělou inteligenci k zefektivnění vývoje malwaru. To snižuje vstupní bariéru a umožňuje jednotlivcům s omezenými technickými znalostmi vytvářet sofistikované hrozby.

Rostoucí hrozby: Podvody s NFC na vzestupu

Vznik této nové varianty NGate podtrhuje rostoucí trend finančních podvodů založených na NFC. Útočníci se nyní místo spoléhání na zavedené nástroje, jako je NFCGate nebo platformy malwaru jako služby, snaží přehodnotit legitimní aplikace s vestavěnou funkcí NFC.

Tento přístup zvyšuje jak provozní efektivitu, tak i možnosti úniku, což signalizuje znepokojivý vývoj v taktikách mobilních hrozeb a posiluje potřebu zvýšené ostražitosti v oblasti zabezpečení mobilních plateb.

 

Trendy

Potvrzení nové aktualizace zabezpečení ochrany...

Phishing, Spam
S neočekávanými e-maily, které vyžadují naléhavou akci, by se mělo vždy zacházet opatrně. Kyberzločinci často maskují škodlivé zprávy jako legitimní oznámení, aby zneužili důvěry a vyvolali paniku. Je důležité si uvědomit, že podvodné e-maily, jako jsou e-maily s požadavkem „Potvrdit novou aktualizaci zabezpečení ochrany osobních údajů“, nejsou spojeny s žádnými legitimními společnostmi,...

Nejvíce shlédnuto

Načítání...