NGate दुर्भावनापूर्ण अभियान
साइबर सुरक्षा विश्लेषकों ने एंड्रॉइड मैलवेयर परिवार के एक नए प्रकार, जिसे NGate के नाम से जाना जाता है, की पहचान की है। यह प्रकार अब NFCGate पर निर्भर रहने के बजाय HandyPay नामक एक वैध एप्लिकेशन का उपयोग करता है। यह बदलाव हमलावरों की रणनीति में आए परिवर्तन को दर्शाता है, जिसमें दुर्भावनापूर्ण गतिविधियों की प्रभावशीलता और गोपनीयता बढ़ाने के लिए विश्वसनीय उपकरणों का इस्तेमाल किया जा रहा है।
हमलावरों ने हैंडीपे नामक एप्लिकेशन को, जो मूल रूप से एनएफसी डेटा रिले करने के लिए डिज़ाइन किया गया था, दुर्भावनापूर्ण कोड डालकर संशोधित किया। संकेत बताते हैं कि इस कोड के कुछ हिस्से कृत्रिम बुद्धिमत्ता का उपयोग करके उत्पन्न किए गए हो सकते हैं।
पहले के NGate संस्करणों की तरह, यह संशोधित एप्लिकेशन हमलावरों को पीड़ित के भुगतान कार्ड से NFC डेटा को इंटरसेप्ट करने और अपने नियंत्रण वाले डिवाइस में स्थानांतरित करने में सक्षम बनाता है। इस चोरी किए गए डेटा का उपयोग बाद में कॉन्टैक्टलेस एटीएम निकासी और अनधिकृत लेनदेन के लिए किया जाता है।
डेटा अवरोधन के अलावा, यह मैलवेयर पीड़ित के भुगतान कार्ड पिन को कैप्चर करने और उसे एक दूरस्थ कमांड-एंड-कंट्रोल (सी2) सर्वर पर भेजने में सक्षम है, जिससे वित्तीय धोखाधड़ी का खतरा काफी बढ़ जाता है।
विषयसूची
NFSkate से लेकर RatOn तक: मैलवेयर की बढ़ती हुई रणनीति
एनगेट, जिसे एनएफएसकेट भी कहा जाता है, पहली बार अगस्त 2024 में सार्वजनिक रूप से सामने आया, जब शोधकर्ताओं ने धोखाधड़ी के लिए संपर्क रहित भुगतान डेटा एकत्र करने के उद्देश्य से एनएफसी रिले हमलों को अंजाम देने की इसकी क्षमता का दस्तावेजीकरण किया। समय के साथ, इसके वितरण तंत्र और परिचालन रणनीति विकसित हुई हैं।
2025 तक, रैटऑन नामक एक संबंधित अभियान ने टिकटॉक के वयस्क-थीम वाले संस्करणों के रूप में छिपे हुए ड्रॉपर एप्लिकेशन पेश किए। इन भ्रामक ऐप्स का उपयोग एनगेट को तैनात करने और एनएफसी रिले हमलों को अंजाम देने के लिए किया गया था, जो सामाजिक इंजीनियरिंग तकनीकों में बढ़ती परिष्कारिता को दर्शाता है।
ब्राजील पर ध्यान केंद्रित: एक लक्षित अभियान उभर रहा है
एनगेट का नवीनतम अभियान भौगोलिक लक्ष्यीकरण में एक उल्लेखनीय बदलाव दर्शाता है, जिसका मुख्य लक्ष्य ब्राजील के उपयोगकर्ता हैं। यह पहली बार है जब इस मैलवेयर को विशेष रूप से दक्षिण अमेरिकी उपयोगकर्ताओं के लिए तैयार किया गया है।
वितरण के तरीके धोखे पर बहुत हद तक निर्भर करते हैं। हमलावर रियो डी जेनेरियो राज्य लॉटरी संगठन से जुड़ी लॉटरी, रियो डी प्रेमिओस की नकली वेबसाइटों का इस्तेमाल करते हैं, साथ ही फर्जी गूगल प्ले स्टोर पेजों का भी इस्तेमाल करते हैं जो एक कथित कार्ड सुरक्षा ऐप का प्रचार करते हैं। इन चैनलों का उद्देश्य उपयोगकर्ताओं को गुमराह करके हैंडीपे के एक असुरक्षित संस्करण को डाउनलोड करवाना है।
संक्रमण की श्रृंखला: पीड़ितों को कैसे बरगलाया जाता है
इस हमले की प्रक्रिया सुनियोजित तरीके से की गई सोशल इंजीनियरिंग और उपयोगकर्ता के साथ बातचीत पर निर्भर करती है:
- पीड़ितों को फर्जी लॉटरी वेबसाइट के माध्यम से लुभाया जाता है और उन्हें जीत का दावा करने के लिए व्हाट्सएप संदेश शुरू करने के लिए कहा जाता है।
- उपयोगकर्ताओं को हैंडीपे के ट्रोजन युक्त संस्करण को डाउनलोड करने के लिए पुनर्निर्देशित किया जाता है।
- एप्लिकेशन इंस्टॉल होने पर डिफ़ॉल्ट भुगतान ऐप के रूप में सेट होने का अनुरोध करता है।
- पीड़ितों को निर्देश दिया जाता है कि वे अपने पेमेंट कार्ड का पिन दर्ज करें और अपने कार्ड को डिवाइस पर टैप करें।
- एनएफसी डेटा को कैप्चर किया जाता है और वास्तविक समय में हमलावर द्वारा नियंत्रित डिवाइस पर भेजा जाता है।
एक बार कार्रवाई हो जाने के बाद, हमलावर चुराए गए क्रेडेंशियल्स का उपयोग करके अनधिकृत एटीएम निकासी और भुगतान लेनदेन करने की क्षमता प्राप्त कर लेते हैं।
गुप्तता और रणनीति: हैंडीपे को क्यों चुना गया
यह अभियान, जिसके बारे में माना जाता है कि यह नवंबर 2025 के आसपास शुरू हुआ था, टूलिंग में जानबूझकर किए गए बदलाव को दर्शाता है। हैंडीपे का दुर्भावनापूर्ण संस्करण कभी भी आधिकारिक गूगल प्ले स्टोर के माध्यम से वितरित नहीं किया गया है, जिससे यह पुष्टि होती है कि हमलावर पूरी तरह से भ्रामक वितरण तकनीकों पर निर्भर हैं।
हैंडीपे को हथियार के रूप में इस्तेमाल करने के फैसले को कई कारकों ने प्रभावित किया होगा। अन्य समाधानों की तुलना में इसकी कम सदस्यता लागत, जो अक्सर 400 डॉलर प्रति माह से अधिक होती है, इसे हमलावरों के लिए एक किफायती विकल्प बनाती है। इसके अलावा, इस एप्लिकेशन को किसी विशेष अनुमति की आवश्यकता नहीं होती है; इसे केवल डिफ़ॉल्ट भुगतान ऐप के रूप में सेट करना होता है। इससे संदेह कम होता है और सफल इंस्टॉलेशन की संभावना बढ़ जाती है।
हैंडीपे ने अपने प्लेटफॉर्म के दुरुपयोग के जवाब में एक आंतरिक जांच शुरू की है।
मैलवेयर विकास में एआई की भूमिका: एक बढ़ती चिंता
मैलवेयर के तकनीकी विश्लेषण से कुछ असामान्य तत्व सामने आए हैं, जिनमें डिबग और सिस्टम संदेशों में इमोजी की उपस्थिति शामिल है। यह विसंगति संकेत देती है कि दुर्भावनापूर्ण कोड को उत्पन्न करने या संशोधित करने में बड़े भाषा मॉडल की भूमिका हो सकती है।
हालांकि कृत्रिम बुद्धिमत्ता (एआई) को इसका सटीक श्रेय देना अभी तक सिद्ध नहीं हुआ है, लेकिन ये निष्कर्ष साइबर अपराधियों द्वारा मैलवेयर के विकास को सुगम बनाने के लिए जनरेटिव आर्टिफिशियल इंटेलिजेंस का तेजी से उपयोग करने के व्यापक उद्योग रुझान के अनुरूप हैं। इससे अपराधियों के लिए जटिल खतरे पैदा करना आसान हो जाता है, जिनके पास तकनीकी विशेषज्ञता सीमित होती है।
बढ़ता खतरा: एनएफसी धोखाधड़ी में तेजी से वृद्धि हो रही है
एनजीएटी के इस नए वेरिएंट का उदय एनएफसी-आधारित वित्तीय धोखाधड़ी में बढ़ते रुझान को रेखांकित करता है। NFCGate या मैलवेयर-एज़-ए-सर्विस प्लेटफॉर्म जैसे स्थापित उपकरणों पर निर्भर रहने के बजाय, हमलावर अब अंतर्निहित एनएफसी कार्यक्षमता वाले वैध अनुप्रयोगों का दुरुपयोग कर रहे हैं।
यह दृष्टिकोण परिचालन दक्षता और बचाव क्षमताओं दोनों को बढ़ाता है, जो मोबाइल खतरे की रणनीति में एक चिंताजनक विकास का संकेत देता है और मोबाइल भुगतान सुरक्षा में बढ़ी हुई सतर्कता की आवश्यकता को मजबूत करता है।
