Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Mobiilne pahavara NGate'i pahatahtlik kampaania

NGate'i pahatahtlik kampaania

Aastaks Mezo aastal Mobiilne pahavara
Tõlgi:

Küberturvalisuse analüütikud on tuvastanud Androidi pahavara perekonna uue variandi, mida tuntakse NGate nime all ja mis nüüd kasutab NFCGate'i asemel ära legitiimset rakendust nimega HandyPay. See areng toob esile ründajate strateegia muutuse, kus usaldusväärsete tööriistade abil suurendatakse pahatahtlike toimingute tõhusust ja varjatust.

Ründajad muutsid HandyPay rakendust, mis oli algselt loodud NFC-andmete edastamiseks, sisestades sinna pahatahtliku koodi. Märgid viitavad sellele, et osa sellest koodist võidi genereerida tehisintellekti abil.

Sarnaselt varasemate NGate'i variantidega võimaldab see muudetud rakendus ründajatel pealt kuulata ja edastada NFC-andmeid ohvri maksekaardilt enda kontrolli all olevasse seadmesse. Neid varastatud andmeid kasutatakse seejärel kontaktivabadeks sularahaautomaatidest raha väljavõtmiseks ja volitamata tehinguteks.

Lisaks andmete pealtkuulamisele on pahavara võimeline jäädvustama ohvri maksekaardi PIN-koodi ja edastama selle kaugjuhtimisserverisse (C2), suurendades oluliselt finantsriski.

NFSkate’ist RatOnini: pahavara laienev käsiraamat

NGate, tuntud ka kui NFSkate, tuli avalikkuse ette 2024. aasta augustis, kui teadlased dokumenteerisid selle võime teostada NFC-edastusrünnakuid, mille eesmärk oli koguda kontaktivabu makseandmeid pettuse eesmärgil. Aja jooksul on selle edastusmehhanismid ja operatiivtaktika arenenud.

2025. aastaks tutvustas seotud kampaania, mida identifitseeriti kui RatOn, dropper-rakendusi, mis olid maskeeritud TikToki täiskasvanutele mõeldud versioonideks. Neid petturlikke rakendusi kasutati NGate'i juurutamiseks ja NFC-edastusrünnakute teostamiseks, mis demonstreeris sotsiaalse manipuleerimise tehnikate üha keerukamat kasutamist.

Brasiilia fookuses: sihipärane kampaania kerkib esile

Viimane NGate'i kampaania kujutab endast märkimisväärset geograafilise sihtimise muutust, kus peamine fookus on Brasiilia kasutajatel. See on esimene teadaolev juhtum, kus pahavara on spetsiaalselt kohandatud Lõuna-Ameerika publikule.

Levitamismeetodid tuginevad suuresti pettusele. Ründajad kasutavad võltsitud veebisaite, mis imiteerivad Rio de Prêmiost, mis on Rio de Janeiro osariigi loteriiorganisatsiooniga seotud loterii, ning petturlikke Google Play poe lehti, mis reklaamivad väidetavat kaardikaitserakendust. Need kanalid on loodud selleks, et eksitada kasutajaid ja meelitada neid alla HandyPay ohustatud versiooni.

Nakkusahel: kuidas ohvreid manipuleeritakse

Rünnakujärjestus tugineb hoolikalt orkestreeritud sotsiaalsele manipuleerimisele ja kasutaja interaktsioonile:

  • Ohvreid meelitatakse võltsitud loteriiveebisaidi kaudu ja palutakse võitude kättesaamiseks saata WhatsAppi sõnum.
  • Kasutajad suunatakse HandyPay troojalase versiooni allalaadimisele
  • Rakendus palub installimisel vaikimisi makserakenduseks määrata.
  • Ohvritele antakse juhised sisestada oma maksekaardi PIN-kood ja puudutada oma kaarti seadmes.
  • NFC-andmed jäädvustatakse ja edastatakse reaalajas ründaja kontrollitavale seadmele.

Pärast hukkamist saavad ründajad varastatud volituste abil võimaluse teha volitamata sularahaautomaatidest raha väljavõtmist ja maksetehinguid.

Varjatus ja strateegia: miks valiti HandyPay

Kampaania, mis arvatakse alanud umbes 2025. aasta novembris, näitab teadlikku tööriistade nihet. HandyPay pahatahtlikku versiooni pole kunagi ametliku Google Play poe kaudu levitatud, mis kinnitab, et ründajad tuginevad täielikult petlikele edastustehnikatele.
HandyPay relvaks muutmise otsust mõjutasid tõenäoliselt mitmed tegurid. Selle madalam tellimishind võrreldes teiste lahendustega, mis sageli ületab 400 dollarit kuus, teeb sellest ohtude tekitajatele ökonoomse valiku. Lisaks ei vaja rakendus erilubasid, vaid tuleb see vaid vaikimisi makserakenduseks määrata. See vähendab kahtlust ja suurendab eduka installimise tõenäosust.

HandyPay on algatanud oma platvormi kuritarvitamise tõttu sisejuurdluse.

Tehisintellekt pahavara arendamisel: kasvav mure

Pahavara tehniline analüüs on paljastanud ebatavalisi elemente, sealhulgas emotikonide olemasolu veaotsingu- ja süsteemisõnumites. See anomaalia viitab suurte keelemudelite võimalikule osalemisele pahatahtliku koodi genereerimises või muutmises.

Kuigi lõplikku seost tehisintellektiga pole veel kinnitatud, on tulemused kooskõlas laiema tööstusharu trendiga, kus küberkurjategijad kasutavad pahavara arendamise sujuvamaks muutmiseks üha enam genereerivat tehisintellekti. See alandab sisenemisbarjääri, võimaldades piiratud tehnilise oskusteabega inimestel luua keerukaid ohte.

Kasvav ohumaastik: NFC-pettused tõusuteel

Selle uue NGate'i variandi esiletõus rõhutab NFC-põhiste finantspettuste kasvavat trendi. Selle asemel, et tugineda väljakujunenud tööriistadele nagu NFCGate või pahavara-teenusena platvormid, kasutavad ründajad nüüd ümber seaduslikke rakendusi sisseehitatud NFC-funktsioonidega.

See lähenemisviis suurendab nii tegevuse efektiivsust kui ka rünnakute vältimise võimekust, mis annab märku murettekitavast arengust mobiilsete ohtude taktikas ja rõhutab vajadust suurema valvsuse järele mobiilimaksete turvalisuse osas.

 

Trendikas

Kinnitage uue privaatsuse turvavärskenduse e-posti...

Andmepüük, Rämpspost
Ootamatutesse meilidesse, mis nõuavad kiiret tegutsemist, tuleks alati suhtuda ettevaatusega. Küberkurjategijad varjavad pahatahtlikke sõnumeid sageli õigustatud teadeteks, et ära kasutada usaldust ja tekitada paanikat. Oluline on mõista, et sellised petuskeemid nagu „Kinnita uus privaatsusvärskendus” ei ole seotud ühegi õigustatud ettevõtte, organisatsiooni ega üksusega, olenemata sellest, kui...

Enim vaadatud

Laadimine...