Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm NGate ļaunprātīgā kampaņa

NGate ļaunprātīgā kampaņa

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm. gadā
Tulkot uz:

Kiberdrošības analītiķi ir identificējuši jaunu Android ļaunprogrammatūru saimes variantu, kas pazīstams kā NGate un tagad izmanto leģitīmu lietojumprogrammu HandyPay, nevis paļaujas uz NFCGate. Šī evolūcija uzsver uzbrucēju stratēģijas maiņu, izmantojot uzticamus rīkus, lai uzlabotu ļaunprātīgu darbību efektivitāti un slepenību.

Uzbrucēji modificēja HandyPay — lietojumprogrammu, kas sākotnēji bija paredzēta NFC datu pārsūtīšanai, ievadot tajā ļaunprātīgu kodu. Pazīmes liecina, ka daļa no šī koda, iespējams, ir ģenerēta, izmantojot mākslīgo intelektu.

Līdzīgi kā iepriekšējās NGate versijas, šī modificētā lietojumprogramma ļauj uzbrucējiem pārtvert un pārsūtīt NFC datus no upura maksājumu kartes uz viņu kontrolētu ierīci. Šie nozagtie dati pēc tam tiek izmantoti bezkontakta naudas izņemšanai bankomātos un neatļautām transakcijām.

Papildus datu pārtveršanai ļaunprogrammatūra spēj notvert upura maksājumu kartes PIN kodu un nosūtīt to uz attālinātu vadības un kontroles (C2) serveri, ievērojami palielinot finansiālas kompromitēšanas risku.

No NFSkate līdz RatOn: ļaunprogrammatūras paplašinātā rokasgrāmata

NGate, kas pazīstams arī kā NFSkate, pirmo reizi publiski parādījās 2024. gada augustā, kad pētnieki dokumentēja tā spēju veikt NFC releja uzbrukumus, kuru mērķis bija iegūt bezkontakta maksājumu datus krāpnieciskai izmantošanai. Laika gaitā tā piegādes mehānismi un darbības taktika ir attīstījušies.

Līdz 2025. gadam saistīta kampaņa, kas identificēta kā RatOn, ieviesa dropper lietotnes, kas bija maskētas kā pieaugušajiem paredzētas TikTok versijas. Šīs maldinošās lietotnes tika izmantotas, lai izvietotu NGate un veiktu NFC releja uzbrukumus, demonstrējot arvien sarežģītākas sociālās inženierijas metodes.

Brazīlija uzmanības centrā: parādās mērķtiecīga kampaņa

Jaunākā NGate kampaņa atspoguļo ievērojamas ģeogrāfiskās mērķauditorijas atlases izmaiņas, galvenokārt koncentrējoties uz lietotājiem Brazīlijā. Šis ir pirmais zināmais gadījums, kad ļaunprogrammatūra ir īpaši pielāgota Dienvidamerikas auditorijai.

Izplatīšanas metodes lielā mērā balstās uz maldināšanu. Uzbrucēji izmanto viltotas tīmekļa vietnes, kas iemiesojas kā Rio de Prêmios, loterija, kas saistīta ar Riodežaneiro štata loterijas organizāciju, kā arī krāpnieciskas Google Play veikala lapas, kas reklamē it kā karšu aizsardzības lietotni. Šie kanāli ir izstrādāti, lai maldinātu lietotājus, mudinot viņus lejupielādēt kompromitētu HandyPay versiju.

Infekcijas ķēde: Kā tiek manipulēti ar upuriem

Uzbrukumu secība balstās uz rūpīgi organizētu sociālo inženieriju un lietotāja mijiedarbību:

  • Upuri tiek pievilināti, izmantojot viltotu loterijas vietni, un viņiem tiek piedāvāts nosūtīt ziņojumu WhatsApp, lai pieprasītu laimestu.
  • Lietotāji tiek novirzīti uz HandyPay ar trojas zirgu inficētās versijas lejupielādi.
  • Lietotne pieprasa, lai to instalēšanas laikā iestatītu kā noklusējuma maksājumu lietotni.
  • Cietušajiem tiek dots norādījums ievadīt maksājumu kartes PIN kodu un pieskarties ierīcei ar savu karti.
  • NFC dati tiek uztverti un reāllaikā pārsūtīti uzbrucēja kontrolētai ierīcei.

Kad uzbrucēji ir izpildīti, viņi iegūst iespēju veikt neatļautas naudas izņemšanas no bankomātiem un maksājumu darījumus, izmantojot nozagtos akreditācijas datus.

Slepenība un stratēģija: kāpēc tika izvēlēts HandyPay

Kampaņa, kas, domājams, sākās ap 2025. gada novembri, demonstrē apzinātu rīku maiņu. HandyPay ļaunprātīgā versija nekad nav tikusi izplatīta oficiālajā Google Play veikalā, kas apstiprina, ka uzbrucēji pilnībā paļaujas uz maldinošām piegādes metodēm.
Lēmumu padarīt HandyPay par ieroci, visticamāk, ietekmēja vairāki faktori. Tā zemākās abonēšanas izmaksas salīdzinājumā ar citiem risinājumiem, kas bieži vien pārsniedz 400 USD mēnesī, padara to par ekonomisku izvēli apdraudējumu radītājiem. Turklāt lietotnei nav nepieciešamas īpašas atļaujas, tā tikai jāiestata kā noklusējuma maksājumu lietotne. Tas samazina aizdomas un palielina veiksmīgas instalēšanas iespējamību.

Reaģējot uz savas platformas ļaunprātīgu izmantošanu, HandyPay ir uzsācis iekšēju izmeklēšanu.

Mākslīgais intelekts ļaunprogrammatūras izstrādē: pieaugošas bažas

Ļaunprogrammatūras tehniskā analīze ir atklājusi neparastus elementus, tostarp emocijzīmju klātbūtni atkļūdošanas un sistēmas ziņojumos. Šī anomālija liecina par iespējamu lielu valodu modeļu iesaistīšanos ļaunprātīgā koda ģenerēšanā vai modificēšanā.

Lai gan galīgā saistība ar mākslīgo intelektu joprojām nav apstiprināta, šie atklājumi atbilst plašākai nozares tendencei, kurā kibernoziedznieki arvien vairāk izmanto ģeneratīvo mākslīgo intelektu, lai racionalizētu ļaunprogrammatūras izstrādi. Tas pazemina ienākšanas barjeras, ļaujot personām ar ierobežotām tehniskajām zināšanām radīt sarežģītus draudus.

Pieaugošā apdraudējuma aina: NFC krāpšana uzplaukumā

Šī jaunā NGate varianta parādīšanās uzsver pieaugošo tendenci NFC balstītā finanšu krāpšanā. Tā vietā, lai paļautos uz jau iedibinātiem rīkiem, piemēram, NFCGate vai ļaunprogrammatūras kā pakalpojuma platformām, uzbrucēji tagad pārveido likumīgas lietojumprogrammas ar iebūvētu NFC funkcionalitāti.

Šī pieeja uzlabo gan darbības efektivitāti, gan apiešanas iespējas, signalizējot par satraucošu mobilo apdraudējumu taktikas attīstību un pastiprinot nepieciešamību pēc pastiprinātas modrības mobilo maksājumu drošībā.

 

Tendences

Apstiprināt jaunu privātuma drošības atjauninājumu...

Pikšķerēšana, Mēstules
Ar negaidītiem e-pastiem, kas prasa steidzamu rīcību, vienmēr jāizturas piesardzīgi. Kibernoziedznieki bieži maskē ļaunprātīgus ziņojumus kā likumīgus paziņojumus, lai izmantotu uzticību un izraisītu paniku. Ir svarīgi atzīt, ka krāpnieciskas e-pasta vēstules, piemēram, “Apstiprināt jaunu privātuma drošības atjauninājumu”, nav saistītas ar likumīgiem uzņēmumiem, organizācijām vai vienībām...

Visvairāk skatīts

Notiek ielāde...