Campanie rău intenționată NGate
Analiștii în domeniul securității cibernetice au identificat o nouă variantă a familiei de programe malware pentru Android, cunoscută sub numele de NGate, care exploatează acum o aplicație legitimă numită HandyPay, în loc să se bazeze pe NFCGate. Această evoluție evidențiază o schimbare în strategia atacatorilor, care utilizează instrumente de încredere pentru a spori eficacitatea și ascunderea operațiunilor rău intenționate.
Atacatorii au modificat HandyPay, o aplicație concepută inițial pentru a transmite date NFC, prin injectarea de cod malițios. Indicatorii sugerează că porțiuni din acest cod ar fi putut fi generate folosind inteligența artificială.
Similar variantelor anterioare ale NGate, această aplicație modificată permite atacatorilor să intercepteze și să transfere date NFC de pe cardul de plată al victimei către un dispozitiv aflat sub controlul lor. Aceste date furate sunt ulterior utilizate pentru retrageri contactless de la bancomate și tranzacții neautorizate.
Pe lângă interceptarea datelor, malware-ul este capabil să capteze codul PIN al cardului de plată al victimei și să îl transmită către un server de comandă și control (C2) la distanță, crescând semnificativ riscul de compromitere financiară.
Cuprins
De la NFSkate la RatOn: Manualul de strategie în expansiune al programelor malware
NGate, cunoscut și sub numele de NFSkate, a apărut public pentru prima dată în august 2024, când cercetătorii au documentat capacitatea sa de a efectua atacuri NFC prin retransmitere, care vizau colectarea datelor de plată contactless pentru utilizare frauduloasă. De-a lungul timpului, mecanismele sale de livrare și tacticile operaționale au evoluat.
Până în 2025, o campanie similară, identificată drept RatOn, a introdus aplicații dropper deghizate în versiuni TikTok pentru adulți. Aceste aplicații înșelătoare au fost folosite pentru a implementa NGate și a executa atacuri NFC relay, demonstrând o sofisticare tot mai mare a tehnicilor de inginerie socială.
Brazilia în centrul atenției: Apare o campanie țintită
Cea mai recentă campanie NGate reprezintă o schimbare notabilă în direcționarea geografică, cu accent principal pe utilizatorii din Brazilia. Aceasta marchează prima instanță cunoscută în care malware-ul a fost adaptat special pentru un public sud-american.
Metodele de distribuție se bazează în mare măsură pe înșelăciune. Atacatorii folosesc site-uri web false care se dau drept Rio de Prêmios, o loterie asociată cu organizația loteriei statului Rio de Janeiro, alături de pagini frauduloase din Magazinul Google Play care promovează o presupusă aplicație de protecție a cardurilor. Aceste canale sunt concepute pentru a induce în eroare utilizatorii, astfel încât aceștia să descarce o versiune compromisă a HandyPay.
Lanțul de infecție: Cum sunt manipulate victimele
Secvența de atac se bazează pe inginerie socială atent orchestrată și interacțiune cu utilizatorul:
- Victimele sunt ademenite prin intermediul unui site web fals de loterie și îndemnate să trimită un mesaj pe WhatsApp pentru a revendica câștigurile.
- Utilizatorii sunt redirecționați pentru a descărca o versiune troianizată a HandyPay
- Aplicația solicită să fie setată ca aplicație de plată implicită la instalare
- Victimele sunt instruite să introducă codul PIN al cardului de plată și să atingă dispozitivul cu cardul.
- Datele NFC sunt capturate și transmise în timp real către un dispozitiv controlat de atacator
Odată executați, atacatorii dobândesc capacitatea de a efectua retrageri neautorizate de la bancomat și tranzacții de plată folosind datele de autentificare furate.
Ascuns și strategie: De ce a fost ales HandyPay
Campania, despre care se crede că a început în jurul lunii noiembrie 2025, demonstrează o schimbare deliberată a instrumentelor. Versiunea rău intenționată a HandyPay nu a fost niciodată distribuită prin intermediul Magazinului oficial Google Play, ceea ce confirmă că atacatorii se bazează în întregime pe tehnici de livrare înșelătoare.
Probabil că mai mulți factori au influențat decizia de a transforma HandyPay într-o armă. Costul său mai mic de abonament în comparație cu alte soluții, care depășește adesea 400 de dolari pe lună, o face o alegere economică pentru autorii de amenințări. În plus, aplicația nu necesită permisiuni speciale, fiind necesară doar setarea ca aplicație de plată implicită. Acest lucru reduce suspiciunile și crește probabilitatea instalării cu succes.
HandyPay a inițiat o anchetă internă ca răspuns la abuzul de utilizare a platformei sale.
Inteligența artificială în dezvoltarea de programe malware: o preocupare tot mai mare
Analiza tehnică a malware-ului a scos la iveală elemente neobișnuite, inclusiv prezența emoji-urilor în mesajele de depanare și de sistem. Această anomalie sugerează posibila implicare a unor modele lingvistice mari în generarea sau modificarea codului malițios.
Deși atribuirea definitivă inteligenței artificiale rămâne neconfirmată, concluziile se aliniază cu o tendință mai largă în industrie, în care infractorii cibernetici utilizează din ce în ce mai mult inteligența artificială generativă pentru a eficientiza dezvoltarea de programe malware. Acest lucru reduce bariera de intrare, permițând persoanelor cu expertiză tehnică limitată să creeze amenințări sofisticate.
Peisajul amenințărilor în creștere: Frauda NFC este în ascensiune
Apariția acestei noi variante NGate subliniază o tendință crescândă în ceea ce privește frauda financiară bazată pe NFC. În loc să se bazeze pe instrumente consacrate, cum ar fi NFCGate sau platforme de tip malware-as-a-service, atacatorii reutilizează acum aplicații legitime cu funcționalitate NFC încorporată.
Această abordare îmbunătățește atât eficiența operațională, cât și capacitățile de evitare a atacurilor, semnalând o evoluție îngrijorătoare în tacticile de combatere a amenințărilor mobile și întărind necesitatea unei vigilențe sporite în ceea ce privește securitatea plăților mobile.
