Злонамеренная кампания NGate
Аналитики в области кибербезопасности выявили новый вариант семейства вредоносных программ для Android, известный как NGate, который теперь использует уязвимость легитимного приложения HandyPay, а не NFCGate. Эта эволюция подчеркивает изменение стратегии злоумышленников, использующих проверенные инструменты для повышения эффективности и скрытности вредоносных операций.
Злоумышленники модифицировали HandyPay, приложение, изначально предназначенное для передачи данных NFC, внедрив в него вредоносный код. Признаки указывают на то, что часть этого кода могла быть сгенерирована с использованием искусственного интеллекта.
Подобно более ранним вариантам NGate, это модифицированное приложение позволяет злоумышленникам перехватывать и передавать данные NFC с платежной карты жертвы на устройство, находящееся под их контролем. Украденные данные впоследствии используются для бесконтактного снятия наличных в банкоматах и несанкционированных транзакций.
Помимо перехвата данных, вредоносная программа способна перехватывать PIN-код платежной карты жертвы и передавать его на удаленный сервер управления и контроля (C2), что значительно увеличивает риск финансовой компрометации.
Оглавление
От NFskate до RatOn: расширяющийся арсенал вредоносных программ.
NGate, также известный как NFSkate, впервые появился на публике в августе 2024 года, когда исследователи задокументировали его способность осуществлять атаки с использованием NFC-меток для сбора данных бесконтактных платежей в мошеннических целях. Со временем механизмы его доставки и тактика работы претерпели изменения.
К 2025 году в рамках связанной кампании под названием RatOn были внедрены приложения-дропперы, замаскированные под версии TikTok для взрослых. Эти обманные приложения использовались для развертывания NGate и проведения NFC-атак, демонстрируя растущую изощренность методов социальной инженерии.
Бразилия в центре внимания: начинается целенаправленная кампания
Последняя кампания NGate демонстрирует заметное изменение географического таргетинга, с основным упором на пользователей в Бразилии. Это первый известный случай, когда вредоносное ПО было специально разработано для южноамериканской аудитории.
Методы распространения в значительной степени основаны на обмане. Злоумышленники используют поддельные веб-сайты, имитирующие Rio de Prêmios, лотерею, связанную с лотерейной организацией штата Рио-де-Жанейро, а также мошеннические страницы в Google Play Store, рекламирующие якобы приложение для защиты банковских карт. Эти каналы предназначены для того, чтобы ввести пользователей в заблуждение и заставить их загрузить скомпрометированную версию HandyPay.
Цепочка заражения: как манипулируют жертвами
Последовательность атак основана на тщательно спланированной социальной инженерии и взаимодействии с пользователями:
- Жертв заманивают через поддельный лотерейный сайт и просят отправить сообщение в WhatsApp, чтобы получить выигрыш.
- Пользователей перенаправляют на страницу загрузки троянизированной версии HandyPay.
- Приложение запрашивает установку в качестве платежного приложения по умолчанию при установке.
- Пострадавшим предлагается ввести PIN-код своей платежной карты и приложить карту к устройству.
- Данные NFC захватываются и передаются в режиме реального времени на устройство, управляемое злоумышленником.
После запуска программы злоумышленники получают возможность совершать несанкционированные снятия наличных в банкоматах и платежные операции, используя украденные учетные данные.
Скрытность и стратегия: почему был выбран HandyPay
Предполагается, что эта кампания началась примерно в ноябре 2025 года, и она демонстрирует преднамеренное изменение используемых инструментов. Вредоносная версия HandyPay никогда не распространялась через официальный магазин Google Play, что подтверждает, что злоумышленники полностью полагаются на методы обманной доставки.
На решение использовать HandyPay в качестве оружия, вероятно, повлияло несколько факторов. Более низкая стоимость подписки по сравнению с другими решениями, часто превышающая 400 долларов в месяц, делает его экономичным выбором для злоумышленников. Кроме того, приложение не требует специальных разрешений, его достаточно установить в качестве приложения для платежей по умолчанию. Это снижает подозрения и повышает вероятность успешной установки.
В связи со злоупотреблениями на своей платформе компания HandyPay начала внутреннее расследование.
Использование ИИ в разработке вредоносного ПО: растущая обеспокоенность
Технический анализ вредоносного ПО выявил необычные элементы, в том числе наличие эмодзи в отладочных и системных сообщениях. Эта аномалия предполагает возможное участие больших языковых моделей в генерации или модификации вредоносного кода.
Хотя окончательное подтверждение причастности ИИ пока отсутствует, полученные результаты согласуются с более широкой отраслевой тенденцией, в которой киберпреступники все чаще используют генеративный искусственный интеллект для упрощения разработки вредоносного ПО. Это снижает порог входа, позволяя людям с ограниченными техническими знаниями создавать сложные угрозы.
Растущая угроза: рост мошенничества с использованием NFC-технологий.
Появление этого нового варианта NGate подчеркивает растущую тенденцию к финансовому мошенничеству с использованием NFC. Вместо того чтобы полагаться на проверенные инструменты, такие как NFCGate или платформы вредоносного ПО как услуга, злоумышленники теперь перепрофилируют легитимные приложения со встроенной функциональностью NFC.
Такой подход повышает как операционную эффективность, так и возможности обхода защиты, что свидетельствует о тревожной эволюции тактики мобильных угроз и подчеркивает необходимость повышенной бдительности в обеспечении безопасности мобильных платежей.
