قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل کمپین مخرب NGate

کمپین مخرب NGate

تا Mezo در بدافزار موبایل
ترجمه به:

تحلیلگران امنیت سایبری نوع جدیدی از خانواده بدافزارهای اندرویدی معروف به NGate را شناسایی کرده‌اند که اکنون به جای تکیه بر NFCGate، از یک برنامه قانونی به نام HandyPay سوءاستفاده می‌کند. این تکامل، تغییر در استراتژی مهاجم را برجسته می‌کند و از ابزارهای قابل اعتماد برای افزایش اثربخشی و پنهان‌کاری عملیات مخرب استفاده می‌کند.

مهاجمان، HandyPay، برنامه‌ای که در ابتدا برای انتقال داده‌های NFC طراحی شده بود را با تزریق کد مخرب تغییر دادند. نشانه‌ها نشان می‌دهد که بخش‌هایی از این کد ممکن است با استفاده از هوش مصنوعی تولید شده باشد.

مشابه انواع قبلی NGate، این برنامه اصلاح‌شده به مهاجمان امکان می‌دهد تا داده‌های NFC را از کارت پرداخت قربانی به دستگاهی تحت کنترل خود منتقل کنند. این داده‌های سرقت‌شده متعاقباً برای برداشت‌های بدون تماس از دستگاه‌های خودپرداز و تراکنش‌های غیرمجاز استفاده می‌شوند.

علاوه بر رهگیری داده‌ها، این بدافزار قادر است پین کارت پرداخت قربانی را ضبط کرده و آن را به یک سرور فرماندهی و کنترل از راه دور (C2) منتقل کند که خطر به خطر افتادن اطلاعات مالی را به میزان قابل توجهی افزایش می‌دهد.

از NFSkate تا RatOn: راهنمای رو به گسترش بدافزار

NGate که با نام NFSkate نیز شناخته می‌شود، اولین بار در آگوست ۲۰۲۴ به صورت عمومی ظاهر شد، زمانی که محققان توانایی آن را در انجام حملات رله NFC با هدف جمع‌آوری داده‌های پرداخت بدون تماس برای استفاده جعلی مستند کردند. با گذشت زمان، مکانیسم‌های تحویل و تاکتیک‌های عملیاتی آن تکامل یافته است.

تا سال ۲۰۲۵، یک کمپین مرتبط با نام RatOn، برنامه‌های کاربردی مخرب را در قالب نسخه‌های بزرگسال TikTok معرفی کرد. این برنامه‌های فریبنده برای استقرار NGate و اجرای حملات رله NFC مورد استفاده قرار گرفتند که نشان‌دهنده پیچیدگی روزافزون تکنیک‌های مهندسی اجتماعی است.

برزیل در کانون توجه: ظهور یک کمپین هدفمند

آخرین کمپین NGate نشان دهنده تغییر قابل توجه در هدف قرار دادن جغرافیایی است که تمرکز اصلی آن بر کاربران برزیلی است. این اولین نمونه شناخته شده از بدافزاری است که به طور خاص برای مخاطبان آمریکای جنوبی طراحی شده است.

روش‌های توزیع به شدت به فریب متکی هستند. مهاجمان از وب‌سایت‌های جعلی که خود را به جای Rio de Prêmios، یک قرعه‌کشی مرتبط با سازمان قرعه‌کشی ایالت ریودوژانیرو، جا می‌زنند، در کنار صفحات جعلی فروشگاه گوگل پلی که یک برنامه محافظت از کارت را تبلیغ می‌کنند، استفاده می‌کنند. این کانال‌ها برای گمراه کردن کاربران به دانلود نسخه‌ای آسیب‌پذیر از HandyPay طراحی شده‌اند.

زنجیره عفونت: چگونه قربانیان دستکاری می‌شوند

توالی حمله به مهندسی اجتماعی و تعامل کاربر که به دقت هماهنگ شده است، متکی است:

  • قربانیان از طریق یک وب‌سایت جعلی قرعه‌کشی فریب می‌خورند و از آنها خواسته می‌شود برای دریافت جایزه، یک پیام واتس‌اپ ارسال کنند.
  • کاربران به دانلود نسخه تروجان‌شده HandyPay هدایت می‌شوند
  • برنامه درخواست می‌کند که هنگام نصب به عنوان برنامه پرداخت پیش‌فرض تنظیم شود
  • به قربانیان دستور داده می‌شود که پین کارت پرداخت خود را وارد کرده و کارت خود را روی دستگاه لمس کنند.
  • داده‌های NFC ضبط شده و به صورت بلادرنگ به دستگاهی که توسط مهاجم کنترل می‌شود، ارسال می‌شوند.

    • پس از اجرا، مهاجمان توانایی انجام برداشت‌های غیرمجاز از دستگاه‌های خودپرداز و تراکنش‌های پرداخت با استفاده از اعتبارنامه‌های سرقت‌شده را به دست می‌آورند.

    مخفی‌کاری و استراتژی: چرا HandyPay انتخاب شد؟

    این کمپین که گمان می‌رود حدود نوامبر ۲۰۲۵ آغاز شده باشد، نشان‌دهنده‌ی یک تغییر عمدی در ابزار است. نسخه‌ی مخرب HandyPay هرگز از طریق فروشگاه رسمی گوگل پلی توزیع نشده است، که تأیید می‌کند مهاجمان کاملاً به تکنیک‌های فریبکارانه‌ی توزیع متکی هستند.
    احتمالاً عوامل متعددی در تصمیم به استفاده از HandyPay به عنوان سلاح تأثیر داشته‌اند. هزینه اشتراک پایین‌تر آن در مقایسه با سایر راهکارها، که اغلب بیش از ۴۰۰ دلار در ماه است، آن را به انتخابی اقتصادی برای مهاجمان تبدیل می‌کند. علاوه بر این، این برنامه به مجوزهای خاصی نیاز ندارد و فقط باید به عنوان برنامه پرداخت پیش‌فرض تنظیم شود. این امر سوءظن را کاهش می‌دهد و احتمال نصب موفقیت‌آمیز را افزایش می‌دهد.

    هندی‌پی (HandyPay) در واکنش به سوءاستفاده از پلتفرم خود، تحقیقات داخلی را آغاز کرده است.

    هوش مصنوعی در توسعه بدافزار: نگرانی فزاینده

    تجزیه و تحلیل فنی این بدافزار، عناصر غیرمعمولی از جمله وجود ایموجی‌ها در پیام‌های اشکال‌زدایی و سیستمی را کشف کرده است. این ناهنجاری، احتمال دخالت مدل‌های زبانی بزرگ در تولید یا اصلاح کد مخرب را نشان می‌دهد.

    اگرچه انتساب قطعی به هوش مصنوعی هنوز تأیید نشده است، اما یافته‌ها با روند گسترده‌تر صنعت همسو هستند که در آن مجرمان سایبری به طور فزاینده‌ای از هوش مصنوعی مولد برای ساده‌سازی توسعه بدافزار استفاده می‌کنند. این امر مانع ورود را کاهش می‌دهد و افراد با تخصص فنی محدود را قادر می‌سازد تا تهدیدات پیچیده‌ای ایجاد کنند.

    چشم‌انداز تهدیدهای رو به افزایش: کلاهبرداری NFC در حال افزایش است

    ظهور این نوع جدید از NGate، روند رو به رشد کلاهبرداری مالی مبتنی بر NFC را برجسته می‌کند. مهاجمان به جای تکیه بر ابزارهای تثبیت‌شده‌ای مانند NFCGate یا پلتفرم‌های بدافزار به عنوان سرویس، اکنون برنامه‌های قانونی را با قابلیت NFC داخلی، مجدداً مورد استفاده قرار می‌دهند.

    این رویکرد، هم کارایی عملیاتی و هم قابلیت‌های گریز را افزایش می‌دهد و نشان‌دهنده‌ی تکامل نگران‌کننده‌ای در تاکتیک‌های تهدید موبایل است و نیاز به هوشیاری بیشتر در امنیت پرداخت موبایلی را تقویت می‌کند.

    پرطرفدار

    Forestrievic.com

    وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
    مرور ایمن وب نیازمند هوشیاری مداوم است. وب‌سایت‌های مخرب به‌طور خاص برای سوءاستفاده از اعتماد کاربران از طریق تکنیک‌های فریبنده طراحی شده‌اند و یکی از تاکتیک‌های رایج، بررسی‌های جعلی CAPTCHA است....

    کلاهبرداری ایمیلی با به‌روزرسانی جدید امنیت حریم...

    فیشینگ, هرزنامه
    ایمیل‌های غیرمنتظره‌ای که نیاز به اقدام فوری دارند، باید همیشه با احتیاط برخورد شوند. مجرمان سایبری اغلب پیام‌های مخرب را به عنوان اعلان‌های قانونی پنهان می‌کنند تا از اعتماد سوءاستفاده کرده و باعث ایجاد وحشت شوند. ضروری است که بدانیم کلاهبرداری‌هایی مانند ایمیل‌های «تأیید به‌روزرسانی جدید امنیت حریم خصوصی» با هیچ شرکت، سازمان یا نهاد قانونی مرتبط نیستند، صرف نظر از اینکه چقدر رسمی به نظر...

    پربیننده ترین

    بارگذاری...