Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa mobiliesiems Kenkėjiška kampanija „NGate“

Kenkėjiška kampanija „NGate“

Autorius Mezo, Kenkėjiška programa mobiliesiems
Versti į:

Kibernetinio saugumo analitikai nustatė naują „Android“ kenkėjiškų programų šeimos variantą, vadinamą „NGate“, kuris dabar išnaudoja teisėtą programą, vadinamą „HandyPay“, o ne pasikliauja „NFCGate“. Ši evoliucija rodo užpuolikų strategijos pokytį, kai naudojami patikimi įrankiai, siekiant padidinti kenkėjiškų operacijų efektyvumą ir paslėptumą.

Užpuolikai modifikavo „HandyPay“ – programėlę, iš pradžių sukurtą NFC duomenims perduoti, įterpdami kenkėjišką kodą. Požymiai rodo, kad dalis šio kodo galėjo būti sugeneruota naudojant dirbtinį intelektą.

Panašiai kaip ir ankstesni „NGate“ variantai, ši modifikuota programa leidžia užpuolikams perimti NFC duomenis iš aukos mokėjimo kortelės ir perduoti juos į jų valdomą įrenginį. Šie pavogti duomenys vėliau naudojami bekontakčiams pinigų išėmimams bankomatuose ir neautorizuotoms operacijoms.

Be duomenų perėmimo, kenkėjiška programa gali užfiksuoti aukos mokėjimo kortelės PIN kodą ir perduoti jį nuotoliniam komandų ir valdymo (C2) serveriui, taip žymiai padidindama finansinio pažeidimo riziką.

Nuo NFSkate iki RatOn: kenkėjiškų programų besiplečianti taktika

„NGate“, dar vadinamas „NFSkate“, pirmą kartą viešai pasirodė 2024 m. rugpjūtį, kai tyrėjai dokumentavo jo gebėjimą vykdyti NFC perdavimo atakas, skirtas bekontakčio mokėjimo duomenų rinkimui sukčiavimo tikslais. Laikui bėgant, jo pristatymo mechanizmai ir veikimo taktika vystėsi.

Iki 2025 m. susijusi kampanija, vadinama „RatOn“, pristatė „dropper“ programas, užmaskuotas kaip suaugusiesiems skirtos „TikTok“ versijos. Šios apgaulingos programėlės buvo naudojamos „NGate“ diegimui ir NFC perdavimo atakoms vykdyti, demonstruojant vis sudėtingesnius socialinės inžinerijos metodus.

Brazilija dėmesio centre: iškyla tikslinė kampanija

Naujausia „NGate“ kampanija žymi pastebimą geografinės taikymo srities pokytį, kai pagrindinis dėmesys skiriamas vartotojams Brazilijoje. Tai pirmas žinomas atvejis, kai kenkėjiška programa buvo specialiai pritaikyta Pietų Amerikos auditorijai.

Platinimo metodai labai priklauso nuo apgaulės. Užpuolikai naudoja netikras svetaines, apsimetinėjančias „Rio de Prêmios“ – loterija, susijusia su Rio de Žaneiro valstijos loterijos organizacija, taip pat apgaulingus „Google Play“ parduotuvės puslapius, reklamuojančius tariamą kortelių apsaugos programėlę. Šie kanalai sukurti taip, kad suklaidintų vartotojus ir paskatintų juos atsisiųsti pažeistą „HandyPay“ versiją.

Infekcijos grandinė: kaip aukos yra manipuliuojamos

Atakų seka remiasi kruopščiai suplanuota socialine inžinerija ir naudotojo sąveika:

  • Aukos viliojamos per netikrą loterijos svetainę ir raginamos parašyti „WhatsApp“ žinutę, kad atsiimtų laimėjimą.
  • Vartotojai nukreipiami atsisiųsti trojanizuotą „HandyPay“ versiją
  • Programa prašoma nustatyti ją kaip numatytąją mokėjimo programėlę diegimo metu
  • Aukos raginamos įvesti savo mokėjimo kortelės PIN kodą ir bakstelėti kortelę į įrenginį.
  • NFC duomenys fiksuojami ir realiuoju laiku perduodami užpuoliko valdomam įrenginiui.

    • Įvykdyti užpuolikai įgyja galimybę atlikti neteisėtus pinigų išėmimus iš bankomatų ir mokėjimo operacijas naudodami pavogtus prisijungimo duomenis.

    Slaptumas ir strategija: kodėl buvo pasirinkta „HandyPay“

    Manoma, kad kampanija prasidėjo maždaug 2025 m. lapkritį, ir tai rodo sąmoningą įrankių pakeitimą. Kenkėjiška „HandyPay“ versija niekada nebuvo platinama per oficialią „Google Play“ parduotuvę, o tai patvirtina, kad užpuolikai visiškai pasikliauja apgaulingais pristatymo metodais.
    Sprendimą paversti „HandyPay“ ginklu greičiausiai lėmė keli veiksniai. Mažesnė prenumeratos kaina, palyginti su kitais sprendimais, dažnai viršijanti 400 USD per mėnesį, daro ją ekonomišku pasirinkimu kenkėjiškų programų kūrėjams. Be to, programai nereikia specialių leidimų, tereikia ją nustatyti kaip numatytąją mokėjimo programėlę. Tai sumažina įtarimą ir padidina sėkmingo įdiegimo tikimybę.

    „HandyPay“ pradėjo vidinį tyrimą dėl piktnaudžiavimo savo platforma.

    Dirbtinis intelektas kenkėjiškų programų kūrime: vis didėjantis susirūpinimas

    Techninė kenkėjiškos programos analizė atskleidė neįprastų elementų, įskaitant jaustukų buvimą derinimo ir sistemos pranešimuose. Ši anomalija rodo galimą didelių kalbos modelių dalyvavimą kuriant ar modifikuojant kenkėjišką kodą.

    Nors galutinis priskyrimas dirbtiniam intelektui vis dar nepatvirtintas, išvados atitinka platesnę pramonės tendenciją, kai kibernetiniai nusikaltėliai vis dažniau naudoja generatyvinį dirbtinį intelektą, kad supaprastintų kenkėjiškų programų kūrimą. Tai sumažina patekimo į rinką barjerą ir suteikia galimybę asmenims, turintiems ribotas technines žinias, kurti sudėtingas grėsmes.

    Didėjanti grėsmių sritis: NFC sukčiavimas auga

    Šio naujo „NGate“ varianto atsiradimas pabrėžia augančią NFC pagrindu vykdomo finansinio sukčiavimo tendenciją. Užuot pasikliovę įprastais įrankiais, tokiais kaip NFCGate ar kenkėjiškų programų kaip paslaugos platformomis, užpuolikai dabar perdirba teisėtas programas su integruotomis NFC funkcijomis.

    Toks požiūris pagerina tiek veiklos efektyvumą, tiek gebėjimą išvengti grėsmių, o tai rodo nerimą keliančią mobiliųjų grėsmių taktikos raidą ir sustiprina didesnio budrumo poreikį mobiliųjų mokėjimų saugumo srityje.


    Tendencijos

    Patvirtinkite naują privatumo saugumo atnaujinimo...

    Sukčiavimas, Šlamštas
    Į netikėtus el. laiškus, reikalaujančius skubių veiksmų, visada reikėtų žiūrėti atsargiai. Kibernetiniai nusikaltėliai dažnai užmaskuoja kenkėjiškas žinutes kaip teisėtus pranešimus, kad pasinaudotų pasitikėjimu ir sukeltų paniką. Svarbu suprasti, kad tokios sukčiavimo akcijos kaip el. laiškai „Patvirtinti naują privatumo ir saugumo atnaujinimą“ nėra susijusios su jokiomis teisėtomis įmonėmis,...

    Labiausiai žiūrima

    Įkeliama...