Kwaadwillige campagne van NGate
Cybersecurity-analisten hebben een nieuwe variant van de Android-malwarefamilie NGate ontdekt. Deze variant maakt nu gebruik van een legitieme applicatie genaamd HandyPay in plaats van NFCGate. Deze ontwikkeling wijst op een verschuiving in de strategie van aanvallers, die nu vertrouwde tools inzetten om hun kwaadaardige acties effectiever en onopvallender te maken.
De aanvallers hebben HandyPay, een applicatie die oorspronkelijk was ontworpen om NFC-gegevens door te geven, aangepast door er kwaadaardige code in te injecteren. Er zijn aanwijzingen dat delen van deze code mogelijk zijn gegenereerd met behulp van kunstmatige intelligentie.
Net als eerdere NGate-varianten stelt deze aangepaste applicatie aanvallers in staat om NFC-gegevens van de betaalkaart van een slachtoffer te onderscheppen en over te dragen naar een apparaat onder hun controle. Deze gestolen gegevens worden vervolgens gebruikt voor contactloze geldopnames bij geldautomaten en ongeautoriseerde transacties.
Naast het onderscheppen van gegevens is de malware in staat om de pincode van de betaalkaart van het slachtoffer te achterhalen en deze naar een externe Command-and-Control (C2)-server te verzenden, waardoor het risico op financiële fraude aanzienlijk toeneemt.
Inhoudsopgave
Van NFSkate tot RatOn: het steeds groter wordende repertoire van malware.
NGate, ook wel NFSkate genoemd, dook voor het eerst publiekelijk op in augustus 2024 toen onderzoekers documenteerden dat het in staat was NFC-relay-aanvallen uit te voeren om contactloze betaalgegevens te verzamelen voor frauduleus gebruik. In de loop der tijd zijn de leveringsmechanismen en operationele tactieken ervan geëvolueerd.
In 2025 introduceerde een verwante campagne, bekend als RatOn, zogenaamde dropper-applicaties die vermomd waren als TikTok-apps met een volwassen thema. Deze misleidende apps werden gebruikt om NGate te installeren en NFC-relay-aanvallen uit te voeren, wat de toenemende verfijning van social engineering-technieken aantoont.
Brazilië in de schijnwerpers: een gerichte campagne ontstaat
De nieuwste NGate-campagne laat een opmerkelijke verschuiving zien in de geografische targeting, met een primaire focus op gebruikers in Brazilië. Dit is het eerste bekende geval van malware die specifiek is afgestemd op een Zuid-Amerikaans publiek.
De distributiemethoden berusten grotendeels op misleiding. Aanvallers gebruiken nepwebsites die zich voordoen als Rio de Prêmios, een loterij die verbonden is aan de staatsloterij van Rio de Janeiro, en frauduleuze pagina's in de Google Play Store die een zogenaamde app voor kaartbeveiliging promoten. Deze kanalen zijn ontworpen om gebruikers te misleiden en hen een gecompromitteerde versie van HandyPay te laten downloaden.
Infectieketen: Hoe slachtoffers worden gemanipuleerd
De aanvalssequentie berust op zorgvuldig georkestreerde sociale manipulatie en gebruikersinteractie:
- Slachtoffers worden via een nep-loterijwebsite gelokt en aangespoord om een WhatsApp-bericht te sturen om hun winst op te eisen.
- Gebruikers worden doorgestuurd naar een pagina waar ze een met een trojan besmette versie van HandyPay kunnen downloaden.
- De applicatie vraagt om bij installatie als standaard betaalapp te worden ingesteld.
- Slachtoffers worden geïnstrueerd om hun pincode van hun betaalkaart in te voeren en hun kaart tegen het apparaat te houden.
- NFC-gegevens worden vastgelegd en in realtime doorgestuurd naar een apparaat dat door een aanvaller wordt bestuurd.
Na de uitvoering krijgen de aanvallers de mogelijkheid om met de gestolen inloggegevens ongeautoriseerde geldopnames bij geldautomaten en betalingstransacties uit te voeren.
Geheimhouding en strategie: Waarom HandyPay werd gekozen
De campagne, die vermoedelijk rond november 2025 van start ging, toont een bewuste verschuiving in de gebruikte methoden. De kwaadaardige versie van HandyPay is nooit via de officiële Google Play Store verspreid, wat bevestigt dat de aanvallers volledig vertrouwen op misleidende distributietechnieken.
Verschillende factoren hebben waarschijnlijk bijgedragen aan de beslissing om HandyPay als wapen in te zetten. De lagere abonnementskosten in vergelijking met andere oplossingen, die vaak meer dan $400 per maand bedragen, maken het een economische keuze voor cybercriminelen. Bovendien vereist de applicatie geen speciale machtigingen; het hoeft alleen maar als standaard betaalapp te worden ingesteld. Dit vermindert de argwaan en verhoogt de kans op een succesvolle installatie.
HandyPay heeft een intern onderzoek ingesteld naar aanleiding van misbruik van haar platform.
AI in malware-ontwikkeling: een groeiende zorg
Technische analyse van de malware heeft ongebruikelijke elementen aan het licht gebracht, waaronder de aanwezigheid van emoji's in debug- en systeemberichten. Deze anomalie suggereert dat grote taalmodellen mogelijk betrokken zijn bij het genereren of wijzigen van de kwaadaardige code.
Hoewel de definitieve toeschrijving aan AI nog niet is bevestigd, sluiten de bevindingen aan bij een bredere trend in de sector waarbij cybercriminelen steeds vaker gebruikmaken van generatieve kunstmatige intelligentie om de ontwikkeling van malware te stroomlijnen. Dit verlaagt de drempel, waardoor personen met beperkte technische kennis geavanceerde bedreigingen kunnen creëren.
Toenemend dreigingslandschap: NFC-fraude in opmars
De opkomst van deze nieuwe NGate-variant onderstreept een groeiende trend in NFC-gebaseerde financiële fraude. In plaats van te vertrouwen op gevestigde tools zoals NFCGate of malware-as-a-service-platforms, hergebruiken aanvallers nu legitieme applicaties met ingebouwde NFC-functionaliteit.
Deze aanpak verbetert zowel de operationele efficiëntie als de mogelijkheden om aanvallen te ontwijken, wat wijst op een zorgwekkende ontwikkeling in de tactieken van mobiele dreigingen en de noodzaak onderstreept voor verhoogde waakzaamheid op het gebied van beveiliging van mobiele betalingen.
