Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Złośliwa kampania NGate

Złośliwa kampania NGate

Do Mezo w Mobilne złośliwe oprogramowanie
Przetłumacz na:

Analitycy ds. cyberbezpieczeństwa zidentyfikowali nowy wariant rodziny złośliwego oprogramowania dla systemu Android, znany jako NGate, który teraz wykorzystuje legalną aplikację HandyPay zamiast polegać na NFCGate. Ta ewolucja uwydatnia zmianę w strategii atakujących, polegającą na wykorzystaniu zaufanych narzędzi w celu zwiększenia skuteczności i ukrycia złośliwych operacji.

Atakujący zmodyfikowali aplikację HandyPay, pierwotnie zaprojektowaną do przesyłania danych NFC, poprzez wstrzyknięcie złośliwego kodu. Wskaźniki sugerują, że fragmenty tego kodu mogły zostać wygenerowane przy użyciu sztucznej inteligencji.

Podobnie jak wcześniejsze warianty NGate, ta zmodyfikowana aplikacja umożliwia atakującym przechwycenie i przesłanie danych NFC z karty płatniczej ofiary na urządzenie znajdujące się pod ich kontrolą. Skradzione dane są następnie wykorzystywane do bezdotykowych wypłat z bankomatów i nieautoryzowanych transakcji.

Oprócz przechwytywania danych złośliwe oprogramowanie potrafi przechwycić numer PIN karty płatniczej ofiary i przesłać go do zdalnego serwera Command-and-Control (C2), co znacznie zwiększa ryzyko kompromitacji finansowej.

Od NFSkate do RatOn: rozszerzający się podręcznik złośliwego oprogramowania

NGate, znany również jako NFSkate, po raz pierwszy pojawił się publicznie w sierpniu 2024 roku, kiedy badacze udokumentowali jego zdolność do przeprowadzania ataków NFC relay, mających na celu zbieranie danych dotyczących płatności zbliżeniowych w celu ich oszukańczego wykorzystania. Z czasem mechanizmy dostarczania i taktyki operacyjne tego ataku ewoluowały.

Do 2025 roku w ramach powiązanej kampanii, zidentyfikowanej jako RatOn, wprowadzono aplikacje typu dropper, które podszywały się pod wersje TikToka przeznaczone dla dorosłych. Te zwodnicze aplikacje były wykorzystywane do wdrażania NGate i przeprowadzania ataków NFC relay, co świadczy o coraz większym wyrafinowaniu technik socjotechnicznych.

Brazylia w centrum uwagi: pojawia się ukierunkowana kampania

Najnowsza kampania NGate stanowi znaczącą zmianę w geograficznym ukierunkowaniu ataków, ze szczególnym uwzględnieniem użytkowników w Brazylii. To pierwszy znany przypadek, gdy złośliwe oprogramowanie zostało stworzone specjalnie z myślą o odbiorcach z Ameryki Południowej.

Metody dystrybucji w dużej mierze opierają się na oszustwie. Atakujący wykorzystują fałszywe strony internetowe podszywające się pod Rio de Prêmios, loterię powiązaną z państwową loterią Rio de Janeiro, a także fałszywe strony w sklepie Google Play promujące rzekomą aplikację zabezpieczającą karty. Kanały te mają na celu nakłonienie użytkowników do pobrania zainfekowanej wersji aplikacji HandyPay.

Łańcuch infekcji: jak manipuluje się ofiarami

Sekwencja ataku opiera się na starannie zaplanowanej inżynierii społecznej i interakcji użytkownika:

  • Ofiary są zwabiane za pośrednictwem fałszywej strony internetowej loterii i nakłaniane do wysłania wiadomości WhatsApp w celu odebrania wygranej
  • Użytkownicy są przekierowywani do pobrania zmodyfikowanej wersji HandyPay
  • Aplikacja prosi o ustawienie jej jako domyślnej aplikacji płatniczej podczas instalacji
  • Ofiarom nakazuje się wprowadzenie numeru PIN karty płatniczej i przyłożenie karty do urządzenia
  • Dane NFC są przechwytywane i przekazywane w czasie rzeczywistym do urządzenia kontrolowanego przez atakującego

Po wykonaniu ataku atakujący zyskują możliwość dokonywania nieautoryzowanych wypłat z bankomatów i transakcji płatniczych przy użyciu skradzionych danych uwierzytelniających.

Skrytość i strategia: dlaczego wybrano HandyPay

Kampania, której początek datuje się na listopad 2025 roku, świadczy o celowej zmianie narzędzi. Złośliwa wersja HandyPay nigdy nie została rozpowszechniona za pośrednictwem oficjalnego sklepu Google Play, co potwierdza, że atakujący polegają wyłącznie na oszukańczych technikach dostarczania wiadomości.
Na decyzję o wykorzystaniu HandyPay prawdopodobnie wpłynęło kilka czynników. Niższy koszt subskrypcji w porównaniu z innymi rozwiązaniami, często przekraczający 400 dolarów miesięcznie, czyni go ekonomicznym wyborem dla cyberprzestępców. Co więcej, aplikacja nie wymaga specjalnych uprawnień, wystarczy ustawić ją jako domyślną aplikację płatniczą. Zmniejsza to podejrzenia i zwiększa prawdopodobieństwo udanej instalacji.

HandyPay wszczął wewnętrzne dochodzenie w odpowiedzi na nadużycia swojej platformy.

Sztuczna inteligencja w rozwoju złośliwego oprogramowania: rosnące obawy

Analiza techniczna złośliwego oprogramowania ujawniła nietypowe elementy, w tym obecność emotikonów w komunikatach debugowania i systemowych. Ta anomalia sugeruje możliwe zaangażowanie dużych modeli językowych w generowanie lub modyfikowanie złośliwego kodu.

Chociaż ostateczne przypisanie tego do sztucznej inteligencji pozostaje niepotwierdzone, odkrycia wpisują się w szerszy trend branżowy, w którym cyberprzestępcy coraz częściej wykorzystują generatywną sztuczną inteligencję do usprawnienia tworzenia złośliwego oprogramowania. Obniża to barierę wejścia, umożliwiając osobom o ograniczonej wiedzy technicznej tworzenie zaawansowanych zagrożeń.

Rosnący krajobraz zagrożeń: oszustwa NFC w fazie wzrostu

Pojawienie się tej nowej odmiany NGate podkreśla rosnący trend oszustw finansowych opartych na NFC. Zamiast polegać na sprawdzonych narzędziach, takich jak NFCGate czy platformy typu malware-as-a-service, atakujący wykorzystują teraz legalne aplikacje z wbudowaną funkcjonalnością NFC.

Takie podejście zwiększa zarówno wydajność operacyjną, jak i możliwości unikania ataków, co jest sygnałem niepokojącej ewolucji taktyk zagrożeń mobilnych i podkreśla potrzebę wzmożonej czujności w zakresie bezpieczeństwa płatności mobilnych.

 

Popularne

Potwierdź nową aktualizację zabezpieczeń prywatności...

Phishing, Spam
Nieoczekiwane wiadomości e-mail wymagające pilnego działania należy zawsze traktować z ostrożnością. Cyberprzestępcy często maskują złośliwe wiadomości pod legalnymi powiadomieniami, aby wykorzystać zaufanie i wywołać panikę. Należy pamiętać, że oszustwa takie jak e-maile z prośbą o potwierdzenie nowej aktualizacji zabezpieczeń prywatności nie są powiązane z żadnymi legalnymi firmami,...

Najczęściej oglądane

Ładowanie...