NGate ondsindet kampagne
Cybersikkerhedsanalytikere har identificeret en ny variant af Android-malwarefamilien kendt som NGate, som nu udnytter en legitim applikation kaldet HandyPay i stedet for at stole på NFCGate. Denne udvikling fremhæver et skift i angriberstrategien, der udnytter pålidelige værktøjer til at forbedre effektiviteten og skjule ondsindede operationer.
Angriberne modificerede HandyPay, en applikation oprindeligt designet til at videresende NFC-data, ved at injicere ondsindet kode. Indikatorer tyder på, at dele af denne kode kan være genereret ved hjælp af kunstig intelligens.
I lighed med tidligere NGate-varianter gør denne modificerede applikation det muligt for angribere at opsnappe og overføre NFC-data fra et offers betalingskort til en enhed, de kontrollerer. Disse stjålne data bruges efterfølgende til kontaktløse hævninger i hæveautomater og uautoriserede transaktioner.
Ud over dataaflytning er malwaren i stand til at indfange offerets pinkode til betalingskortet og overføre den til en fjern Command-and-Control (C2)-server, hvilket øger risikoen for økonomisk kompromittering betydeligt.
Indholdsfortegnelse
Fra NFSkate til RatOn: Malwarens voksende håndbog
NGate, også kaldet NFSkate, dukkede først op offentligt i august 2024, da forskere dokumenterede dens evne til at udføre NFC-relæangreb med det formål at indsamle kontaktløse betalingsdata til svigagtig brug. Over tid har dens leveringsmekanismer og operationelle taktikker udviklet sig.
I 2025 introducerede en relateret kampagne identificeret som RatOn dropper-applikationer forklædt som voksenversioner af TikTok. Disse vildledende apps blev brugt til at implementere NGate og udføre NFC-relæangreb, hvilket demonstrerede stigende sofistikering inden for social engineering-teknikker.
Brasilien i fokus: En målrettet kampagne træder frem
Den seneste NGate-kampagne repræsenterer et bemærkelsesværdigt skift i geografisk målretning med primært fokus på brugere i Brasilien. Dette markerer det første kendte tilfælde af malware, der er skræddersyet specifikt til et sydamerikansk publikum.
Distributionsmetoderne er i høj grad afhængige af bedrag. Angribere bruger falske websteder, der udgiver sig for at være Rio de Prêmios, et lotteri tilknyttet Rio de Janeiros statslotteriorganisation, sammen med falske Google Play Store-sider, der promoverer en angivelig kortbeskyttelsesapp. Disse kanaler er designet til at vildlede brugerne til at downloade en kompromitteret version af HandyPay.
Smittekæde: Hvordan ofre manipuleres
Angrebssekvensen er afhængig af omhyggeligt orkestreret social engineering og brugerinteraktion:
- Ofre lokkes via en falsk lotterihjemmeside og bliver bedt om at sende en WhatsApp-besked for at gøre krav på gevinster.
- Brugere omdirigeres til at downloade en trojanerbaseret version af HandyPay
- Applikationen anmoder om at blive indstillet som standardbetalingsapp ved installation
- Ofrene bliver bedt om at indtaste deres betalingskorts pinkode og trykke deres kort mod enheden
- NFC-data indsamles og videresendes i realtid til en angriberkontrolleret enhed
Når angriberne er henrettet, får de muligheden for at udføre uautoriserede hævninger og betalingstransaktioner fra hæveautomater ved hjælp af de stjålne loginoplysninger.
Stealth og strategi: Hvorfor HandyPay blev valgt
Kampagnen, der menes at være startet omkring november 2025, demonstrerer et bevidst skift i værktøjssystemet. Den ondsindede version af HandyPay er aldrig blevet distribueret via den officielle Google Play Store, hvilket bekræfter, at angriberne udelukkende bruger vildledende leveringsteknikker.
Flere faktorer har sandsynligvis påvirket beslutningen om at gøre HandyPay til et våben. Dens lavere abonnementspris sammenlignet med andre løsninger, ofte over $400 om måneden, gør det til et økonomisk valg for trusselsaktører. Derudover kræver applikationen ikke særlige tilladelser, da den blot skal indstilles som standardbetalingsapp. Dette reducerer mistanke og øger sandsynligheden for en vellykket installation.
HandyPay har indledt en intern undersøgelse som reaktion på misbruget af sin platform.
AI i malwareudvikling: En voksende bekymring
Teknisk analyse af malwaren har afdækket usædvanlige elementer, herunder tilstedeværelsen af emojis i fejlfindings- og systemmeddelelser. Denne anomali antyder mulig involvering af store sprogmodeller i generering eller ændring af den skadelige kode.
Selvom den endelige tilskrivning til AI stadig ikke er bekræftet, stemmer resultaterne overens med en bredere branchetendens, hvor cyberkriminelle i stigende grad udnytter generativ kunstig intelligens til at strømline udviklingen af malware. Dette sænker adgangsbarrieren og gør det muligt for personer med begrænset teknisk ekspertise at skabe sofistikerede trusler.
Stigende trusselsbillede: NFC-svindel på vej op
Fremkomsten af denne nye NGate-variant understreger en voksende tendens inden for NFC-baseret økonomisk svindel. I stedet for at stole på etablerede værktøjer som NFCGate eller malware-as-a-service-platforme, genbruger angribere nu legitime applikationer med indbygget NFC-funktionalitet.
Denne tilgang forbedrer både den operationelle effektivitet og undvigelseskapaciteten, hvilket signalerer en bekymrende udvikling inden for mobile trusselstaktikker og forstærker behovet for øget årvågenhed inden for mobilbetalingssikkerhed.
