Zlonamjerna kampanja NGate
Analitičari kibernetičke sigurnosti identificirali su novu varijantu obitelji zlonamjernog softvera za Android poznatu kao NGate, koja sada iskorištava legitimnu aplikaciju pod nazivom HandyPay umjesto da se oslanja na NFCGate. Ova evolucija naglašava promjenu u strategiji napadača, koristeći pouzdane alate za poboljšanje učinkovitosti i prikrivenosti zlonamjernih operacija.
Napadači su modificirali HandyPay, aplikaciju izvorno dizajniranu za prijenos NFC podataka, ubrizgavanjem zlonamjernog koda. Indikatori upućuju na to da su dijelovi ovog koda možda generirani pomoću umjetne inteligencije.
Slično ranijim varijantama NGate-a, ova modificirana aplikacija omogućuje napadačima presretanje i prijenos NFC podataka s platne kartice žrtve na uređaj pod njihovom kontrolom. Ti ukradeni podaci se potom koriste za beskontaktno podizanje gotovine na bankomatima i neovlaštene transakcije.
Osim presretanja podataka, zlonamjerni softver može uhvatiti PIN platne kartice žrtve i prenijeti ga na udaljeni Command-and-Control (C2) poslužitelj, što značajno povećava rizik od financijske kompromitacije.
Sadržaj
Od NFSkatea do RatOn-a: Širenje priručnika zlonamjernog softvera
NGate, također poznat kao NFSkate, prvi put se javno pojavio u kolovozu 2024. kada su istraživači dokumentirali njegovu sposobnost izvođenja NFC relay napada usmjerenih na prikupljanje podataka o beskontaktnom plaćanju za prijevarnu upotrebu. Tijekom vremena, njegovi mehanizmi isporuke i operativne taktike su se razvijali.
Do 2025. godine, povezana kampanja poznata kao RatOn uvela je aplikacije za spuštanje sadržaja prikrivene kao verzije TikToka za odrasle. Ove obmanjujuće aplikacije korištene su za implementaciju NGate-a i izvršavanje NFC relay napada, pokazujući sve veću sofisticiranost tehnika društvenog inženjeringa.
Brazil u fokusu: Pojavljuje se ciljana kampanja
Najnovija NGate kampanja predstavlja značajnu promjenu u geografskom ciljanju, s primarnim fokusom na korisnike u Brazilu. Ovo označava prvi poznati slučaj da je zlonamjerni softver posebno prilagođen južnoameričkoj publici.
Metode distribucije uvelike se oslanjaju na obmanu. Napadači koriste lažne web stranice koje se lažno predstavljaju kao Rio de Prêmios, lutrija povezana s državnom lutrijskom organizacijom Rio de Janeira, uz lažne stranice Trgovine Google Play koje promoviraju navodnu aplikaciju za zaštitu kartica. Ovi kanali osmišljeni su kako bi zavarali korisnike da preuzmu kompromitovanu verziju HandyPaya.
Lanac zaraze: Kako se manipulira žrtvama
Slijed napada oslanja se na pažljivo orkestrirani društveni inženjering i interakciju s korisnikom:
- Žrtve se namamljuju putem lažne web stranice lutrije i potiču da pošalju poruku na WhatsAppu kako bi zatražile dobitak.
- Korisnici se preusmjeravaju na preuzimanje verzije HandyPaya zaražene trojancem
- Aplikacija traži da se postavi kao zadana aplikacija za plaćanje nakon instalacije
- Žrtve se upućuju da unesu PIN svoje platne kartice i prislone karticu na uređaj
- NFC podaci se bilježe i prenose u stvarnom vremenu na uređaj kojim upravlja napadač
Nakon izvršenja, napadači dobivaju mogućnost neovlaštenog podizanja gotovine s bankomata i platnih transakcija koristeći ukradene vjerodajnice.
Prikrivenost i strategija: Zašto je odabran HandyPay
Kampanja, za koju se vjeruje da je započela oko studenog 2025., pokazuje namjernu promjenu alata. Zlonamjerna verzija HandyPaya nikada nije distribuirana putem službene trgovine Google Play, što potvrđuje da se napadači u potpunosti oslanjaju na prijevarne tehnike dostave.
Nekoliko je čimbenika vjerojatno utjecalo na odluku o pretvaranju HandyPaya u oružje. Njegova niža cijena pretplate u usporedbi s drugim rješenjima, koja često prelazi 400 USD mjesečno, čini ga ekonomičnim izborom za prijetnje. Osim toga, aplikacija ne zahtijeva posebne dozvole, potrebno ju je samo postaviti kao zadanu aplikaciju za plaćanje. To smanjuje sumnju i povećava vjerojatnost uspješne instalacije.
HandyPay je pokrenuo internu istragu kao odgovor na zlouporabu svoje platforme.
Umjetna inteligencija u razvoju zlonamjernog softvera: rastuća zabrinutost
Tehnička analiza zlonamjernog softvera otkrila je neobične elemente, uključujući prisutnost emojija unutar poruka za otklanjanje pogrešaka i sistemskih poruka. Ova anomalija sugerira moguću uključenost velikih jezičnih modela u generiranje ili mijenjanje zlonamjernog koda.
Iako konačna pripisivanja umjetnoj inteligenciji još uvijek nisu potvrđena, nalazi se podudaraju sa širim industrijskim trendom u kojem kibernetički kriminalci sve više koriste generativnu umjetnu inteligenciju kako bi pojednostavili razvoj zlonamjernog softvera. To smanjuje prepreku ulasku, omogućujući pojedincima s ograničenim tehničkim znanjem stvaranje sofisticiranih prijetnji.
Rastuća prijetnja: NFC prijevare u porastu
Pojava ove nove varijante NGatea naglašava rastući trend financijskih prijevara temeljenih na NFC-u. Umjesto oslanjanja na etablirane alate poput NFCGatea ili platformi sa zlonamjernim softverom kao uslugom, napadači sada prenamjenjuju legitimne aplikacije s ugrađenom NFC funkcionalnošću.
Ovaj pristup poboljšava i operativnu učinkovitost i mogućnosti izbjegavanja, signalizirajući zabrinjavajuću evoluciju taktika mobilnih prijetnji i pojačavajući potrebu za pojačanom budnošću u sigurnosti mobilnog plaćanja.
