NGate ondsinnet kampanje
Nettsikkerhetsanalytikere har identifisert en ny variant av Android-skadevarefamilien kjent som NGate, som nå utnytter et legitimt program kalt HandyPay i stedet for å stole på NFCGate. Denne utviklingen fremhever et skifte i angriperstrategien, der man utnytter pålitelige verktøy for å forbedre effektiviteten og snikende virkningen av ondsinnede operasjoner.
Angriperne modifiserte HandyPay, en applikasjon som opprinnelig var utviklet for å videresende NFC-data, ved å injisere skadelig kode. Indikatorer tyder på at deler av denne koden kan ha blitt generert ved hjelp av kunstig intelligens.
I likhet med tidligere NGate-varianter lar denne modifiserte applikasjonen angripere fange opp og overføre NFC-data fra et offers betalingskort til en enhet de kontrollerer. Disse stjålne dataene brukes deretter til kontaktløse minibankuttak og uautoriserte transaksjoner.
I tillegg til dataavlytting, er skadevaren i stand til å fange offerets PIN-kode for betalingskortet og overføre den til en ekstern kommando-og-kontroll-server (C2), noe som øker risikoen for økonomisk kompromittering betydelig.
Innholdsfortegnelse
Fra NFSkate til RatOn: Skadevarens voksende strategi
NGate, også omtalt som NFSkate, ble først offentlig kjent i august 2024 da forskere dokumenterte dens evne til å utføre NFC-reléangrep med sikte på å samle kontaktløse betalingsdata for uredelig bruk. Over tid har leveringsmekanismene og operasjonelle taktikker utviklet seg.
Innen 2025 introduserte en relatert kampanje identifisert som RatOn dropper-applikasjoner forkledd som voksenversjoner av TikTok. Disse villedende appene ble brukt til å distribuere NGate og utføre NFC-reléangrep, noe som demonstrerte økende sofistikering innen sosial manipulering.
Brasil i fokus: En målrettet kampanje dukker opp
Den siste NGate-kampanjen representerer et bemerkelsesverdig skifte i geografisk målretting, med hovedfokus på brukere i Brasil. Dette markerer det første kjente tilfellet av at skadevaren er skreddersydd spesielt for et søramerikansk publikum.
Distribusjonsmetoder er i stor grad avhengige av bedrag. Angripere bruker falske nettsteder som utgir seg for å være Rio de Prêmios, et lotteri tilknyttet Rio de Janeiros statlige lotteriorganisasjon, i tillegg til falske Google Play Store-sider som markedsfører en angivelig app for kortbeskyttelse. Disse kanalene er utformet for å villede brukere til å laste ned en kompromittert versjon av HandyPay.
Smittekjede: Hvordan ofre blir manipulert
Angrepssekvensen er avhengig av nøye orkestrert sosial manipulering og brukerinteraksjon:
- Ofrene blir lokket gjennom en falsk lotterinettside og bedt om å sende en WhatsApp-melding for å kreve gevinsten.
- Brukere blir omdirigert til å laste ned en trojanerisert versjon av HandyPay
- Applikasjonen ber om å bli angitt som standard betalingsapp ved installasjon
- Ofrene blir bedt om å taste inn PIN-koden til betalingskortet sitt og holde kortet mot enheten.
- NFC-data samles inn og videresendes i sanntid til en angriperkontrollert enhet
Når de er henrettet, får angriperne muligheten til å utføre uautoriserte minibankuttak og betalingstransaksjoner ved hjelp av de stjålne påloggingsinformasjonen.
Sniking og strategi: Hvorfor HandyPay ble valgt
Kampanjen, som antas å ha startet rundt november 2025, demonstrerer et bevisst skifte i verktøyene. Den ondsinnede versjonen av HandyPay har aldri blitt distribuert gjennom den offisielle Google Play Store, noe som bekrefter at angriperne utelukkende er avhengige av villedende leveringsteknikker.
Flere faktorer påvirket sannsynligvis beslutningen om å gjøre HandyPay til et våpen. Den lavere abonnementskostnaden sammenlignet med andre løsninger, ofte over 400 dollar per måned, gjør det til et økonomisk valg for trusselaktører. I tillegg krever ikke applikasjonen spesielle tillatelser, den trenger bare å bli angitt som standard betalingsapp. Dette reduserer mistanke og øker sannsynligheten for vellykket installasjon.
HandyPay har igangsatt en intern etterforskning som følge av misbruket av plattformen sin.
AI i utvikling av skadelig programvare: En økende bekymring
Teknisk analyse av skadevaren har avdekket uvanlige elementer, inkludert tilstedeværelsen av emojier i feilsøkings- og systemmeldinger. Denne avviket tyder på at store språkmodeller muligens er involvert i generering eller modifisering av den skadelige koden.
Selv om den definitive tilskrivelsen til AI fortsatt er ubekreftet, samsvarer funnene med en bredere bransjetrend der nettkriminelle i økende grad utnytter generativ kunstig intelligens for å effektivisere utvikling av skadelig programvare. Dette senker inngangsbarrieren, og gjør det mulig for enkeltpersoner med begrenset teknisk ekspertise å lage sofistikerte trusler.
Økende trusselbilde: NFC-svindel på vei oppover
Fremveksten av denne nye NGate-varianten understreker en økende trend innen NFC-basert økonomisk svindel. I stedet for å stole på etablerte verktøy som NFCGate eller malware-as-a-service-plattformer, bruker angripere nå legitime applikasjoner på nytt med innebygd NFC-funksjonalitet.
Denne tilnærmingen forbedrer både driftseffektiviteten og unnvikelseskapasiteten, noe som signaliserer en bekymringsfull utvikling innen mobile trusseltaktikker og forsterker behovet for økt årvåkenhet innen sikkerhet for mobile betalinger.
