Kempen Berniat Jahat NGate

Penganalisis keselamatan siber telah mengenal pasti varian baharu keluarga perisian hasad Android yang dikenali sebagai NGate, yang kini mengeksploitasi aplikasi sah yang dipanggil HandyPay dan bukannya bergantung pada NFFCGate. Evolusi ini menonjolkan perubahan dalam strategi penyerang, memanfaatkan alat yang dipercayai untuk meningkatkan keberkesanan dan kerahsiaan operasi berniat jahat.

Penyerang telah mengubah suai HandyPay, sebuah aplikasi yang pada asalnya direka untuk menyampaikan data NFC, dengan menyuntik kod berniat jahat. Petunjuk menunjukkan bahawa sebahagian daripada kod ini mungkin telah dijana menggunakan kecerdasan buatan.

Sama seperti varian NGate terdahulu, aplikasi yang diubah suai ini membolehkan penyerang memintas dan memindahkan data NFC daripada kad pembayaran mangsa ke peranti di bawah kawalan mereka. Data yang dicuri ini kemudiannya digunakan untuk pengeluaran ATM tanpa sentuh dan transaksi tanpa kebenaran.

Selain pemintasan data, perisian hasad ini mampu menangkap PIN kad pembayaran mangsa dan menghantarnya ke pelayan Arahan dan Kawalan (C2) jauh, sekali gus meningkatkan risiko kompromi kewangan dengan ketara.

Dari NFSkate ke RatOn: Buku Panduan Perisian Hasad yang Semakin Berkembang

NGate, juga dirujuk sebagai NFSkate, pertama kali muncul secara terbuka pada Ogos 2024 apabila para penyelidik mendokumentasikan keupayaannya untuk melakukan serangan geganti NFC yang bertujuan untuk menuai data pembayaran tanpa sentuh untuk kegunaan penipuan. Lama-kelamaan, mekanisme penghantaran dan taktik operasinya telah berkembang.

Menjelang 2025, kempen berkaitan yang dikenal pasti sebagai RatOn telah memperkenalkan aplikasi dropper yang menyamar sebagai versi TikTok bertemakan dewasa. Aplikasi yang mengelirukan ini digunakan untuk menggunakan NGate dan melaksanakan serangan geganti NFC, menunjukkan peningkatan kecanggihan dalam teknik kejuruteraan sosial.

Brazil dalam Fokus: Kempen Sasaran Muncul

Kempen NGate terkini mewakili perubahan ketara dalam penyasaran geografi, dengan tumpuan utama kepada pengguna di Brazil. Ini menandakan contoh pertama perisian hasad yang diketahui disesuaikan khusus untuk khalayak Amerika Selatan.

Kaedah pengedaran sangat bergantung pada penipuan. Penyerang menggunakan laman web palsu yang menyamar sebagai Rio de Prêmios, sebuah loteri yang berkaitan dengan organisasi loteri negeri Rio de Janeiro, di samping halaman Gedung Google Play palsu yang mempromosikan aplikasi perlindungan kad yang dikatakan. Saluran ini direka bentuk untuk mengelirukan pengguna agar memuat turun versi HandyPay yang dikompromi.

Rantaian Jangkitan: Bagaimana Mangsa Dimanipulasi

Urutan serangan bergantung pada kejuruteraan sosial dan interaksi pengguna yang dirancang dengan teliti:

• Mangsa diumpan melalui laman web loteri palsu dan diminta untuk memulakan mesej WhatsApp bagi menuntut kemenangan

• Pengguna dialihkan untuk memuat turun versi HandyPay yang ditrojankan

• Aplikasi ini meminta untuk ditetapkan sebagai aplikasi pembayaran lalai semasa pemasangan

• Mangsa diarahkan untuk memasukkan PIN kad pembayaran mereka dan mengetik kad mereka pada peranti

• Data NFC dirakam dan disampaikan dalam masa nyata kepada peranti yang dikawal oleh penyerang

Sebaik sahaja dilaksanakan, penyerang mendapat keupayaan untuk melakukan pengeluaran ATM dan transaksi pembayaran tanpa kebenaran menggunakan kelayakan yang dicuri.

Kerahsiaan dan Strategi: Mengapa HandyPay Dipilih

Kempen itu, yang dipercayai telah bermula sekitar November 2025, menunjukkan perubahan yang disengajakan dalam perkakasan. Versi berniat jahat HandyPay tidak pernah diedarkan melalui Gedung Google Play rasmi, mengesahkan bahawa penyerang bergantung sepenuhnya pada teknik penghantaran yang mengelirukan.
Beberapa faktor mungkin mempengaruhi keputusan untuk menjadikan HandyPay sebagai senjata. Kos langganannya yang lebih rendah berbanding penyelesaian lain, selalunya melebihi $400 sebulan, menjadikannya pilihan yang menjimatkan untuk pelaku ancaman. Selain itu, aplikasi ini tidak memerlukan kebenaran khas, hanya perlu ditetapkan sebagai aplikasi pembayaran lalai. Ini mengurangkan syak wasangka dan meningkatkan kemungkinan pemasangan yang berjaya.

HandyPay telah memulakan siasatan dalaman sebagai tindak balas terhadap penyalahgunaan platformnya.

AI dalam Pembangunan Perisian Hasad: Kebimbangan yang Semakin Meningkat

Analisis teknikal perisian hasad telah mendedahkan unsur-unsur luar biasa, termasuk kehadiran emoji dalam mesej debug dan sistem. Anomali ini menunjukkan kemungkinan penglibatan model bahasa yang besar dalam menjana atau mengubah suai kod berniat jahat.

Walaupun atribusi muktamad kepada AI masih belum disahkan, penemuan ini sejajar dengan trend industri yang lebih luas di mana penjenayah siber semakin memanfaatkan kecerdasan buatan generatif untuk memperkemas pembangunan perisian hasad. Ini mengurangkan halangan kemasukan, membolehkan individu yang mempunyai kepakaran teknikal yang terhad untuk mencipta ancaman yang canggih.

Lanskap Ancaman yang Meningkat: Penipuan NFC Semakin Meningkat

Kemunculan varian NGate baharu ini menggariskan trend yang semakin meningkat dalam penipuan kewangan berasaskan NFC. Daripada bergantung pada alat yang sedia ada seperti NFFCGate atau platform malware-as-a-service, penyerang kini menggunakan semula aplikasi yang sah dengan fungsi NFC terbina dalam.

Pendekatan ini meningkatkan kecekapan operasi dan keupayaan pengelakan, menandakan evolusi yang membimbangkan dalam taktik ancaman mudah alih dan mengukuhkan keperluan untuk meningkatkan kewaspadaan dalam keselamatan pembayaran mudah alih.