Fushata keqdashëse NGate

Analistët e sigurisë kibernetike kanë identifikuar një variant të ri të familjes së programeve keqdashëse për Android të njohur si NGate, i cili tani shfrytëzon një aplikacion legjitim të quajtur HandyPay në vend që të mbështetet te NFCGate. Ky evolucion nxjerr në pah një ndryshim në strategjinë e sulmuesit, duke shfrytëzuar mjete të besueshme për të rritur efektivitetin dhe fshehtësinë e operacioneve keqdashëse.

Sulmuesit modifikuan HandyPay, një aplikacion i projektuar fillimisht për të transmetuar të dhëna NFC, duke injektuar kod të dëmshëm. Treguesit sugjerojnë se pjesë të këtij kodi mund të jenë gjeneruar duke përdorur inteligjencën artificiale.

Ngjashëm me variantet e mëparshme të NGate, ky aplikacion i modifikuar u mundëson sulmuesve të përgjojnë dhe transferojnë të dhëna NFC nga karta e pagesës së viktimës në një pajisje nën kontrollin e tyre. Këto të dhëna të vjedhura përdoren më pas për tërheqje pa kontakt nga bankomati dhe transaksione të paautorizuara.

Përveç përgjimit të të dhënave, programi keqdashës është i aftë të kapë PIN-in e kartës së pagesës së viktimës dhe ta transmetojë atë në një server të largët të Komandës dhe Kontrollit (C2), duke rritur ndjeshëm rrezikun e kompromentimit financiar.

Nga NFSkate te RatOn: Udhëzuesi në Zgjerim i Malware-it

NGate, i njohur edhe si NFSkate, u shfaq publikisht për herë të parë në gusht 2024 kur studiuesit dokumentuan aftësinë e tij për të kryer sulme NFC rele që synonin mbledhjen e të dhënave të pagesave pa kontakt për përdorim mashtrues. Me kalimin e kohës, mekanizmat e tij të shpërndarjes dhe taktikat operative kanë evoluar.

Deri në vitin 2025, një fushatë e lidhur me këtë temë e identifikuar si RatOn prezantoi aplikacione dropper të maskuara si versione të TikTok me temë për të rritur. Këto aplikacione mashtruese u përdorën për të vendosur NGate dhe për të ekzekutuar sulme NFC rele, duke demonstruar sofistikim në rritje në teknikat e inxhinierisë sociale.

Brazili në Fokus: Një Fushatë e Synuar Shfaqet

Fushata e fundit NGate përfaqëson një ndryshim të dukshëm në shënjestrimin gjeografik, me një fokus kryesor te përdoruesit në Brazil. Kjo shënon rastin e parë të njohur të malware-it të përshtatur posaçërisht për një audiencë të Amerikës së Jugut.

Metodat e shpërndarjes mbështeten shumë në mashtrim. Sulmuesit përdorin faqe interneti të rreme që imitojnë Rio de Prêmios, një llotari të lidhur me organizatën shtetërore të llotarisë së Rio de Janeiros, së bashku me faqe mashtruese të Google Play Store që promovojnë një aplikacion të supozuar për mbrojtjen e kartave. Këto kanale janë të dizajnuara për të mashtruar përdoruesit që të shkarkojnë një version të kompromentuar të HandyPay.

Zinxhiri i Infeksionit: Si Manipulohen Viktimat

Sekuenca e sulmit mbështetet në inxhinieri sociale të orkestruar me kujdes dhe ndërveprim të përdoruesit:

• Viktimat joshen përmes një faqeje interneti të rreme lotarie dhe nxiten të nisin një mesazh në WhatsApp për të kërkuar fitimet.

• Përdoruesit ridrejtohen për të shkarkuar një version të HandyPay të infektuar me virusin trojan.

• Aplikacioni kërkon të caktohet si aplikacioni i parazgjedhur i pagesave pas instalimit.

• Viktimave u udhëzohet të fusin PIN-in e kartës së tyre të pagesës dhe të prekin kartën e tyre në pajisje.

• Të dhënat NFC kapen dhe transmetohen në kohë reale në një pajisje të kontrolluar nga sulmuesi

Pasi ekzekutohen, sulmuesit fitojnë aftësinë për të kryer tërheqje të paautorizuara parash nga ATM dhe transaksione pagese duke përdorur kredencialet e vjedhura.

Fshehtësia dhe Strategjia: Pse u zgjodh HandyPay

Fushata, që besohet të ketë filluar rreth nëntorit 2025, tregon një ndryshim të qëllimshëm në përdorimin e mjeteve. Versioni keqdashës i HandyPay nuk është shpërndarë kurrë përmes Dyqanit zyrtar Google Play, duke konfirmuar se sulmuesit mbështeten tërësisht në teknika mashtruese të dorëzimit.
Disa faktorë ka të ngjarë të kenë ndikuar në vendimin për ta kthyer HandyPay në një armë. Kostoja e tij më e ulët e abonimit krahasuar me zgjidhjet e tjera, që shpesh tejkalon 400 dollarë në muaj, e bën atë një zgjedhje ekonomike për aktorët kërcënues. Përveç kësaj, aplikacioni nuk kërkon leje të veçanta, duke pasur nevojë vetëm të vendoset si aplikacioni i parazgjedhur i pagesave. Kjo zvogëlon dyshimet dhe rrit gjasat e instalimit të suksesshëm.

HandyPay ka nisur një hetim të brendshëm në përgjigje të abuzimit me platformën e saj.

IA në Zhvillimin e Malware-it: Një Shqetësim në Rritje

Analiza teknike e malware-it ka zbuluar elementë të pazakontë, duke përfshirë praninë e emoji-ve brenda mesazheve të debug-ut dhe të sistemit. Kjo anomali sugjeron përfshirjen e mundshme të modeleve të mëdha gjuhësore në gjenerimin ose modifikimin e kodit keqdashës.

Edhe pse atribuimi përfundimtar ndaj IA-së mbetet i pakonfirmuar, gjetjet përputhen me një trend më të gjerë të industrisë në të cilin kriminelët kibernetikë përdorin gjithnjë e më shumë inteligjencën artificiale gjeneruese për të përmirësuar zhvillimin e malware-ve. Kjo ul barrierën e hyrjes, duke u mundësuar individëve me ekspertizë teknike të kufizuar të krijojnë kërcënime të sofistikuara.

Peizazhi i Kërcënimeve në Rritje: Mashtrimi me NFC në Rritje

Shfaqja e këtij varianti të ri të NGate nënvizon një trend në rritje të mashtrimit financiar të bazuar në NFC. Në vend që të mbështeten në mjete të vendosura si NFCGate ose platformat malware-as-a-service, sulmuesit tani po ripërdorin aplikacione legjitime me funksionalitet të integruar NFC.

Kjo qasje rrit si efikasitetin operacional ashtu edhe aftësitë e shmangies, duke sinjalizuar një evolucion shqetësues në taktikat e kërcënimeve ndaj celularëve dhe duke përforcuar nevojën për vigjilencë të shtuar në sigurinë e pagesave në celular.