NGate rosszindulatú kampány

Kiberbiztonsági elemzők azonosítottak az Android kártevőcsalád egy új változatát, az NGate-et, amely most egy legitim HandyPay alkalmazást használ ki az NFCGate helyett. Ez a fejlődés a támadói stratégia eltolódását jelzi, amely megbízható eszközöket használ a rosszindulatú műveletek hatékonyságának és lopakodásának fokozására.

A támadók rosszindulatú kód befecskendezésével módosították a HandyPay alkalmazást, amelyet eredetileg NFC-adatok továbbítására terveztek. A jelek arra utalnak, hogy a kód egyes részeit mesterséges intelligencia segítségével generálhatták.

A korábbi NGate variánsokhoz hasonlóan ez a módosított alkalmazás lehetővé teszi a támadók számára, hogy NFC-adatokat szerezzenek meg és továbbítsanak az áldozat bankkártyájáról az általuk ellenőrzött eszközre. Ezeket az ellopott adatokat később érintésmentes ATM-es készpénzfelvételekhez és jogosulatlan tranzakciókhoz használják.

Az adatlehallgatás mellett a rosszindulatú program képes lekérni az áldozat bankkártyájának PIN-kódját, és azt egy távoli parancsnoki és vezérlő (C2) szerverre továbbítani, ami jelentősen növeli a pénzügyi kompromittálódás kockázatát.

Az NFSkate-től a RatOnig: A kártevők bővülő forgatókönyve

Az NGate, más néven NFSkate, először 2024 augusztusában jelent meg nyilvánosan, amikor a kutatók dokumentálták az NFC-relé támadások végrehajtására való képességét, amelyek célja az érintésmentes fizetési adatok csalárd felhasználása volt. Idővel a kézbesítési mechanizmusai és a működési taktikái is fejlődtek.

2025-re egy kapcsolódó, RatOn néven azonosított kampány olyan dropper alkalmazásokat vezetett be, amelyeket a TikTok felnőtteknek szóló verzióinak álcáztak. Ezeket a megtévesztő alkalmazásokat NGate telepítésére és NFC-relétámadások végrehajtására használták, ami egyre kifinomultabb szociális manipulációs technikákat mutatott be.

Brazília fókuszban: Célzott kampány bontakozik ki

A legújabb NGate kampány jelentős változást jelent a földrajzi célzásban, elsősorban a brazil felhasználókra összpontosítva. Ez az első ismert eset, amikor a rosszindulatú programot kifejezetten dél-amerikai közönségnek szabták.

A terjesztési módszerek nagymértékben a megtévesztésre épülnek. A támadók hamis weboldalakat használnak, amelyek a Rio de Prêmios nevű, a Rio de Janeiro állami lottószervezethez kapcsolódó lottótársaságnak álcázzák magukat, valamint csalárd Google Play Áruház oldalakat, amelyek egy állítólagos kártyavédelmi alkalmazást népszerűsítenek. Ezek a csatornák úgy vannak kialakítva, hogy félrevezessék a felhasználókat, és rávegyék őket a HandyPay egy feltört verziójának letöltésére.

Fertőzéslánc: Hogyan manipulálják az áldozatokat

A támadási sorozat gondosan összehangolt társadalmi manipuláción és felhasználói interakción alapul:

• Az áldozatokat egy hamis lottóoldalon keresztül csábítják el, és arra kérik őket, hogy WhatsApp üzenetet küldjenek a nyeremény igényléséhez.

• A felhasználókat átirányítják a HandyPay trójai verziójának letöltésére

• Az alkalmazás telepítéskor kéri, hogy alapértelmezett fizetési alkalmazásként legyen beállítva.

• Az áldozatokat arra utasítják, hogy adják meg bankkártyájuk PIN-kódját, és érintsék meg a kártyájukat az eszközön.

• Az NFC-adatokat valós időben rögzítik és továbbítják egy támadó által irányított eszközre.

A kivégzésüket követően a támadók jogosulatlan ATM-felvételeket és fizetési tranzakciókat hajthatnak végre az ellopott hitelesítő adatok felhasználásával.

Lopakodás és stratégia: Miért választották a HandyPay-t?

A kampány, amelyről úgy vélik, hogy 2025 novembere körül kezdődött, az eszköztár tudatos megváltoztatását mutatja. A HandyPay rosszindulatú verzióját soha nem terjesztették a hivatalos Google Play Áruházon keresztül, ami megerősíti, hogy a támadók teljes mértékben megtévesztő kézbesítési technikákra támaszkodnak.
Több tényező is befolyásolhatta a HandyPay fegyverként való alkalmazásának döntését. Alacsonyabb előfizetési költsége más megoldásokhoz képest, amely gyakran meghaladja a havi 400 dollárt, gazdaságos választássá teszi a kiberbűnözők számára. Ezenkívül az alkalmazás nem igényel speciális engedélyeket, csak alapértelmezett fizetési alkalmazásként kell beállítani. Ez csökkenti a gyanút és növeli a sikeres telepítés valószínűségét.

A HandyPay belső vizsgálatot indított a platformjával kapcsolatos visszaélések miatt.

MI a rosszindulatú szoftverek fejlesztésében: egyre nagyobb aggodalomra ad okot

A kártevő technikai elemzése szokatlan elemeket tárt fel, beleértve az emojik jelenlétét a hibakeresési és rendszerüzenetekben. Ez az anomália arra utal, hogy nagy nyelvi modellek is részt vehettek a rosszindulatú kód létrehozásában vagy módosításában.

Bár a mesterséges intelligenciának tulajdonítható jelenség továbbra sem bizonyított, az eredmények összhangban vannak egy szélesebb körű iparági trenddel, amelyben a kiberbűnözők egyre inkább kihasználják a generatív mesterséges intelligenciát a rosszindulatú programok fejlesztésének egyszerűsítésére. Ez csökkenti a belépési korlátokat, lehetővé téve a korlátozott műszaki ismeretekkel rendelkező egyének számára, hogy kifinomult fenyegetéseket hozzanak létre.

Növekvő fenyegetések: NFC-csalások terjedése

Az új NGate variáns megjelenése rávilágít az NFC-alapú pénzügyi csalások növekvő trendjére. Ahelyett, hogy a bevált eszközökre, például az NFCGate-re vagy a szolgáltatásként nyújtott kártevő platformokra hagyatkoznának, a támadók mostantól beépített NFC-funkcióval rendelkező legitim alkalmazásokat használnak újra.

Ez a megközelítés fokozza mind a működési hatékonyságot, mind az elhárítási képességeket, jelezve a mobil fenyegetési taktikák aggasztó fejlődését, és megerősítve a fokozott éberség szükségességét a mobilfizetések biztonsága terén.