קמפיין זדוני של NGate

אנליסטים בתחום אבטחת הסייבר זיהו גרסה חדשה של משפחת תוכנות הזדוניות לאנדרואיד, המכונה NGate, אשר מנצלת כעת אפליקציה לגיטימית בשם HandyPay במקום להסתמך על NFCGate. התפתחות זו מדגישה שינוי באסטרטגיית התוקפים, תוך מינוף כלים מהימנים כדי לשפר את היעילות והחשאיות של פעולות זדוניות.

התוקפים שינו את HandyPay, אפליקציה שתוכננה במקור להעברת נתוני NFC, על ידי הזרקת קוד זדוני. אינדיקטורים מצביעים על כך שחלקים מהקוד הזה עשויים להיות נוצרים באמצעות בינה מלאכותית.

בדומה לגרסאות קודמות של NGate, יישום זה, המותאם לשינויים, מאפשר לתוקפים ליירט ולהעביר נתוני NFC מכרטיס התשלום של הקורבן למכשיר הנמצא בשליטתם. נתונים גנובים אלה משמשים לאחר מכן למשיכות ללא מגע מכספומט ולעסקאות לא מורשות.

בנוסף ליירוט נתונים, התוכנה הזדונית מסוגלת ללכוד את קוד ה-PIN של כרטיס התשלום של הקורבן ולהעביר אותו לשרת פיקוד ובקרה (C2) מרוחק, מה שמגדיל משמעותית את הסיכון לפגיעה פיננסית.

מ-NFSkate ל-RatOn: ספר ההדרכה המתרחב של התוכנה הזדונית

NGate, המכונה גם NFSkate, הופיע לראשונה בפומבי באוגוסט 2024, כאשר חוקרים תיעדו את יכולתו לבצע מתקפות NFC ממסר שמטרתן לאסוף נתוני תשלום ללא מגע לשימוש הונאה. עם הזמן, מנגנוני המסירה והטקטיקות התפעוליות שלו התפתחו.

עד שנת 2025, קמפיין קשור שזוהה בשם RatOn הציג אפליקציות "dropper" במסווה של גרסאות למבוגרים של TikTok. אפליקציות מטעות אלו שימשו לפריסת NGate ולביצוע מתקפות ממסר NFC, מה שמדגים תחכום גובר בטכניקות הנדסה חברתית.

ברזיל בפוקוס: קמפיין ממוקד צץ

קמפיין NGate האחרון מייצג שינוי ניכר במיקוד גיאוגרפי, עם התמקדות עיקרי במשתמשים בברזיל. זהו המקרה הידוע הראשון של תוכנה זדונית המותאמת במיוחד לקהל דרום אמריקאי.

שיטות ההפצה מסתמכות במידה רבה על הטעיה. תוקפים משתמשים באתרי אינטרנט מזויפים המתחזים ל-Rio de Prêmios, הגרלה הקשורה לארגון הלוטו של מדינת ריו דה ז'ניירו, לצד דפי Google Play Store הונאה המקדמים אפליקציית הגנה לכאורה על כרטיסי אשראי. ערוצים אלה נועדו להטעות משתמשים ולגרום להם להוריד גרסה פרוצה של HandyPay.

שרשרת הדבקה: כיצד מניפולציות מתבצעות על קורבנות

רצף ההתקפה מסתמך על הנדסה חברתית מתוזמרת בקפידה ואינטראקציה עם המשתמש:

לאחר ביצוע הפעולה, התוקפים מקבלים את היכולת לבצע משיכות כספים ותשלומים לא מורשים בכספומט באמצעות פרטי הגישה הגנובים.

התגנבות ואסטרטגיה: מדוע נבחרה HandyPay

הקמפיין, שהחל ככל הנראה בסביבות נובמבר 2025, מדגים שינוי מכוון בכלי העבודה. הגרסה הזדונית של HandyPay מעולם לא הופצה דרך חנות Google Play הרשמית, דבר המאשר שהתוקפים מסתמכים אך ורק על טכניקות משלוח מטעות.
מספר גורמים ככל הנראה השפיעו על ההחלטה להפוך את HandyPay לנשק. עלות המנוי הנמוכה יותר בהשוואה לפתרונות אחרים, שלעתים קרובות עולה על 400 דולר לחודש, הופכת אותה לבחירה חסכונית עבור גורמי איום. בנוסף, האפליקציה אינה דורשת הרשאות מיוחדות, אלא רק צריכה להיות מוגדרת כאפליקציית התשלום המוגדרת כברירת מחדל. זה מפחית חשד ומגדיל את הסבירות להתקנה מוצלחת.

HandyPay פתחה בחקירה פנימית בתגובה לניצול לרעה של הפלטפורמה שלה.

בינה מלאכותית בפיתוח תוכנות זדוניות: דאגה גוברת

ניתוח טכני של הנוזקה חשף אלמנטים יוצאי דופן, כולל נוכחות של אימוג'ים בהודעות ניפוי שגיאות והודעות מערכת. אנומליה זו מצביעה על מעורבות אפשרית של מודלי שפה גדולים ביצירה או שינוי של הקוד הזדוני.

למרות שייחוס סופי לבינה מלאכותית נותר בלתי אושר, הממצאים תואמים מגמה רחבה יותר בתעשייה שבה פושעי סייבר ממנפים יותר ויותר בינה מלאכותית גנרטיבית כדי לייעל את פיתוח תוכנות זדוניות. זה מוריד את מחסום הכניסה, ומאפשר לאנשים עם מומחיות טכנית מוגבלת ליצור איומים מתוחכמים.

נוף איומים עולה: הונאות NFC במגמת עלייה

הופעתה של גרסת NGate החדשה מדגישה מגמה גוברת בהונאות פיננסיות מבוססות NFC. במקום להסתמך על כלים מבוססים כמו NFCGate או פלטפורמות של תוכנות זדוניות כשירות, תוקפים משתמשים כעת ביישומים לגיטימיים עם פונקציונליות NFC מובנית.

גישה זו משפרת הן את היעילות התפעולית והן את יכולות ההתחמקות, ומאותתת על התפתחות מדאיגה בטקטיקות איומים ניידות ומחזקת את הצורך בערנות מוגברת באבטחת תשלומים ניידים.