Campagna dannosa di NGate
Gli analisti di sicurezza informatica hanno identificato una nuova variante della famiglia di malware Android nota come NGate, che ora sfrutta un'applicazione legittima chiamata HandyPay anziché basarsi su NFCGate. Questa evoluzione evidenzia un cambiamento nella strategia degli aggressori, che si avvalgono di strumenti affidabili per migliorare l'efficacia e la furtività delle operazioni dannose.
Gli hacker hanno modificato HandyPay, un'applicazione originariamente progettata per trasmettere dati NFC, iniettando codice dannoso. Alcuni indizi suggeriscono che parte di questo codice potrebbe essere stata generata utilizzando l'intelligenza artificiale.
Analogamente alle precedenti varianti di NGate, questa applicazione modificata consente agli aggressori di intercettare e trasferire i dati NFC dalla carta di pagamento della vittima a un dispositivo sotto il loro controllo. Questi dati rubati vengono successivamente utilizzati per prelievi contactless presso gli sportelli automatici e transazioni non autorizzate.
Oltre all'intercettazione dei dati, il malware è in grado di acquisire il PIN della carta di pagamento della vittima e di trasmetterlo a un server di comando e controllo (C2) remoto, aumentando significativamente il rischio di compromissione finanziaria.
Sommario
Da NFSkate a RatOn: il manuale in continua evoluzione dei malware
NGate, noto anche come NFSkate, è emerso pubblicamente per la prima volta nell'agosto del 2024, quando i ricercatori ne hanno documentato la capacità di eseguire attacchi di relay NFC volti a raccogliere dati di pagamento contactless per scopi fraudolenti. Nel corso del tempo, i suoi meccanismi di diffusione e le sue tattiche operative si sono evoluti.
Entro il 2025, una campagna correlata, identificata come RatOn, ha introdotto applicazioni di dropper camuffate da versioni per adulti di TikTok. Queste app ingannevoli sono state utilizzate per distribuire NGate ed eseguire attacchi NFC relay, dimostrando una crescente sofisticazione nelle tecniche di ingegneria sociale.
Il Brasile sotto i riflettori: emerge una campagna mirata
L'ultima campagna di NGate rappresenta un notevole cambiamento nel targeting geografico, con un'attenzione primaria agli utenti in Brasile. Questo segna il primo caso noto di malware progettato specificamente per un pubblico sudamericano.
I metodi di distribuzione si basano in gran parte sull'inganno. Gli aggressori utilizzano siti web falsi che imitano Rio de Prêmios, una lotteria associata all'organizzazione statale delle lotterie di Rio de Janeiro, insieme a pagine fraudolente sul Google Play Store che promuovono una presunta app di protezione delle carte. Questi canali sono progettati per indurre gli utenti a scaricare una versione compromessa di HandyPay.
Catena di infezione: come vengono manipolate le vittime
La sequenza dell'attacco si basa su un'attenta orchestrazione di tecniche di ingegneria sociale e sull'interazione con gli utenti:
- Le vittime vengono attirate attraverso un sito web di lotteria fasullo e indotte a inviare un messaggio WhatsApp per reclamare le vincite.
- Gli utenti vengono reindirizzati al download di una versione infetta di HandyPay.
- L'applicazione richiede di essere impostata come app di pagamento predefinita al momento dell'installazione.
- Alle vittime viene chiesto di inserire il PIN della propria carta di pagamento e di avvicinare la carta al dispositivo.
- I dati NFC vengono acquisiti e trasmessi in tempo reale a un dispositivo controllato da un aggressore.
Una volta eseguito l'attacco, gli aggressori ottengono la possibilità di effettuare prelievi bancomat e transazioni di pagamento non autorizzati utilizzando le credenziali rubate.
Furtività e strategia: perché HandyPay è stata scelta
La campagna, che si ritiene sia iniziata intorno a novembre 2025, dimostra un deliberato cambiamento negli strumenti utilizzati. La versione dannosa di HandyPay non è mai stata distribuita tramite il Google Play Store ufficiale, a conferma che gli aggressori si affidano esclusivamente a tecniche di distribuzione ingannevoli.
Diversi fattori hanno probabilmente influenzato la decisione di utilizzare HandyPay come arma. Il suo costo di abbonamento inferiore rispetto ad altre soluzioni, che spesso supera i 400 dollari al mese, lo rende una scelta economica per i malintenzionati. Inoltre, l'applicazione non richiede autorizzazioni speciali, essendo sufficiente impostarla come app di pagamento predefinita. Ciò riduce i sospetti e aumenta la probabilità di un'installazione riuscita.
HandyPay ha avviato un'indagine interna in seguito all'abuso della sua piattaforma.
L’intelligenza artificiale nello sviluppo di malware: una preoccupazione crescente
L'analisi tecnica del malware ha rivelato elementi insoliti, tra cui la presenza di emoji nei messaggi di debug e di sistema. Questa anomalia suggerisce il possibile coinvolgimento di modelli linguistici complessi nella generazione o nella modifica del codice dannoso.
Sebbene l'attribuzione definitiva all'intelligenza artificiale rimanga da confermare, i risultati si allineano a una tendenza più ampia del settore, in cui i criminali informatici sfruttano sempre più l'intelligenza artificiale generativa per semplificare lo sviluppo di malware. Ciò abbassa la barriera d'ingresso, consentendo anche a individui con competenze tecniche limitate di creare minacce sofisticate.
Scenario delle minacce in evoluzione: le frodi NFC sono in aumento.
La comparsa di questa nuova variante di NGate sottolinea una tendenza crescente nelle frodi finanziarie basate su NFC. Anziché affidarsi a strumenti consolidati come NFCGate o piattaforme malware-as-a-service, gli aggressori ora riutilizzano applicazioni legittime con funzionalità NFC integrate.
Questo approccio migliora sia l'efficienza operativa che le capacità di elusione, segnalando una preoccupante evoluzione nelle tattiche di minaccia mobile e rafforzando la necessità di una maggiore vigilanza nella sicurezza dei pagamenti mobili.
