Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér Škodlivá kampaň NGate

Škodlivá kampaň NGate

Do roku Mezo v roku Mobilný malvér
Preložiť do:

Analytici kybernetickej bezpečnosti identifikovali nový variant rodiny malvéru pre Android známy ako NGate, ktorý teraz využíva legitímnu aplikáciu s názvom HandyPay namiesto toho, aby sa spoliehal na NFCGate. Tento vývoj zdôrazňuje posun v stratégii útočníkov, ktorí využívajú dôveryhodné nástroje na zvýšenie efektivity a utajenia škodlivých operácií.

Útočníci upravili aplikáciu HandyPay, pôvodne navrhnutú na prenos údajov NFC, vložením škodlivého kódu. Indikátory naznačujú, že časti tohto kódu mohli byť vygenerované pomocou umelej inteligencie.

Podobne ako predchádzajúce varianty NGate, aj táto upravená aplikácia umožňuje útočníkom zachytiť a preniesť NFC dáta z platobnej karty obete do zariadenia, ktoré majú pod kontrolou. Tieto ukradnuté dáta sa následne používajú na bezkontaktné výbery z bankomatov a neoprávnené transakcie.

Okrem zachytávania údajov je malvér schopný zachytiť PIN kód platobnej karty obete a preniesť ho na vzdialený server Command-and-Control (C2), čo výrazne zvyšuje riziko finančnej kompromitácie.

Od NFSkate po RatOn: Rozširujúca sa príručka pre malvér

NGate, tiež označovaný ako NFSkate, sa prvýkrát objavil verejne v auguste 2024, keď výskumníci zdokumentovali jeho schopnosť vykonávať útoky NFC relé zamerané na zhromažďovanie údajov o bezkontaktných platbách na podvodné účely. Postupom času sa jeho mechanizmy doručovania a operačné taktiky vyvíjali.

Do roku 2025 zaviedla súvisiaca kampaň s názvom RatOn aplikácie na zachytávanie obsahu maskované ako verzie TikToku pre dospelých. Tieto klamlivé aplikácie sa používali na nasadenie NGate a vykonávanie útokov NFC relay, čo demonštrovalo rastúcu sofistikovanosť techník sociálneho inžinierstva.

Brazília v centre pozornosti: Vzniká cielená kampaň

Najnovšia kampaň NGate predstavuje výrazný posun v geografickom zacielení s primárnym zameraním na používateľov v Brazílii. Ide o prvý známy prípad, keď bol malvér špeciálne prispôsobený pre juhoamerické publikum.

Distribučné metódy sa vo veľkej miere spoliehajú na podvod. Útočníci používajú falošné webové stránky, ktoré sa vydávajú za Rio de Prêmios, lotériu spojenú so štátnou lotériovou organizáciou Rio de Janeiro, spolu s podvodnými stránkami Obchodu Google Play propagujúcimi údajnú aplikáciu na ochranu kariet. Tieto kanály sú navrhnuté tak, aby zavádzali používateľov a stiahli si kompromitovanú verziu HandyPay.

Reťazec infekcie: Ako sú obete manipulované

Útočná sekvencia sa spolieha na starostlivo premyslené sociálne inžinierstvo a interakciu s používateľom:

  • Obeťami sa vyláka falošná webová stránka lotérie a vyzve sa ich, aby napísali správu cez WhatsApp a uplatnili si výhru.
  • Používatelia sú presmerovaní na stiahnutie trójskej verzie HandyPay
  • Aplikácia po inštalácii požaduje nastavenie ako predvolenej platobnej aplikácie.
  • Obeťam sa odporúča zadať PIN kód platobnej karty a priložiť kartu k zariadeniu.
  • Dáta NFC sa zachytávajú a v reálnom čase prenášajú do zariadenia ovládaného útočníkom.

Po vykonaní útoku získajú útočníci možnosť vykonávať neoprávnené výbery z bankomatov a platobné transakcie s použitím ukradnutých prihlasovacích údajov.

Tajnosť a stratégia: Prečo bol vybraný HandyPay

Kampaň, o ktorej sa predpokladá, že sa začala okolo novembra 2025, demonštruje zámernú zmenu v nástrojoch. Škodlivá verzia HandyPay nebola nikdy distribuovaná prostredníctvom oficiálneho obchodu Google Play, čo potvrdzuje, že útočníci sa spoliehajú výlučne na klamlivé techniky doručovania.
Rozhodnutie využiť HandyPay ako zbraň pravdepodobne ovplyvnilo niekoľko faktorov. Jeho nižšie náklady na predplatné v porovnaní s inými riešeniami, ktoré často presahujú 400 dolárov mesačne, z neho robia ekonomickú voľbu pre aktérov útokov. Aplikácia navyše nevyžaduje špeciálne povolenia, stačí ju nastaviť ako predvolenú platobnú aplikáciu. To znižuje podozrenie a zvyšuje pravdepodobnosť úspešnej inštalácie.

Spoločnosť HandyPay začala interné vyšetrovanie v reakcii na zneužívanie svojej platformy.

Umelá inteligencia vo vývoji malvéru: rastúci problém

Technická analýza malvéru odhalila nezvyčajné prvky vrátane prítomnosti emoji v ladiacích a systémových správach. Táto anomália naznačuje možné zapojenie rozsiahlych jazykových modelov do generovania alebo úpravy škodlivého kódu.

Hoci definitívne pripisovanie umelej inteligencii zostáva nepotvrdené, zistenia sú v súlade so širším trendom v odvetví, v ktorom kyberzločinci čoraz viac využívajú generatívnu umelú inteligenciu na zefektívnenie vývoja škodlivého softvéru. To znižuje vstupnú bariéru a umožňuje jednotlivcom s obmedzenými technickými znalosťami vytvárať sofistikované hrozby.

Rastúca hrozba: Podvody s NFC na vzostupe

Vznik tohto nového variantu NGate podčiarkuje rastúci trend finančných podvodov založených na NFC. Namiesto spoliehania sa na zavedené nástroje, ako je NFCGate alebo platformy malvéru ako služby, útočníci teraz prepoužívajú legitímne aplikácie so zabudovanou funkciou NFC.

Tento prístup zvyšuje prevádzkovú efektivitu aj možnosti úniku, čo signalizuje znepokojujúci vývoj v taktikách mobilných hrozieb a posilňuje potrebu zvýšenej ostražitosti v oblasti bezpečnosti mobilných platieb.

 

Trendy

Potvrdenie novej aktualizácie zabezpečenia ochrany...

Phishing, Spam
Neočakávané e-maily, ktoré vyžadujú urgentný zásah, by sa mali vždy brať opatrne. Kyberzločinci často maskujú škodlivé správy ako legitímne oznámenia, aby zneužili dôveru a vyvolali paniku. Je dôležité si uvedomiť, že podvody, ako napríklad e-maily s požiadavkou „Potvrdiť novú aktualizáciu zabezpečenia súkromia“, nie sú spojené so žiadnymi legitímnymi spoločnosťami, organizáciami ani subjektmi,...

Najviac videné

Načítava...