Попуст за више лиценци
Тхреат Датабасе Мобиле Малваре Злонамерна кампања NGate-а

Злонамерна кампања NGate-а

До Mezo. у Мобиле Малваре
Преведи на:

Аналитичари сајбер безбедности идентификовали су нову варијанту породице злонамерних програма за Андроид познату као NGate, која сада искоришћава легитимну апликацију под називом HandyPay уместо да се ослања на NFCGate. Ова еволуција истиче промену у стратегији нападача, користећи поуздане алате за побољшање ефикасности и прикривености злонамерних операција.

Нападачи су модификовали HandyPay, апликацију првобитно дизајнирану за пренос NFC података, убризгавањем злонамерног кода. Индикатори указују на то да су делови овог кода можда генерисани коришћењем вештачке интелигенције.

Слично ранијим варијантама NGate-а, ова модификована апликација омогућава нападачима да пресретну и пренесу NFC податке са платне картице жртве на уређај којим управљају. Ови украдени подаци се потом користе за бесконтактно подизање новца са банкомата и неовлашћене трансакције.

Поред пресретања података, злонамерни софтвер је способан да сними ПИН платне картице жртве и да га пренесе на удаљени командни и контролни (C2) сервер, што значајно повећава ризик од финансијског компромитовања.

Од NFSkate-а до RatOn-а: Распрострањена приручник за злонамерни софтвер

NGate, такође познат као NFSkate, први пут се појавио јавно у августу 2024. године када су истраживачи документовали његову способност да изводи NFC релејне нападе усмерене на прикупљање података о бесконтактном плаћању у сврху преварне употребе. Временом су се његови механизми испоруке и оперативне тактике развијали.

До 2025. године, повезана кампања под називом RatOn увела је апликације за спуштање садржаја прерушене у верзије ТикТока за одрасле. Ове обмањујуће апликације коришћене су за распоређивање NGate- а и извршавање NFC релејних напада, демонстрирајући све већу софистицираност техника друштвеног инжењеринга.

Бразил у фокусу: Појављује се циљана кампања

Најновија NGate кампања представља значајан помак у географском циљању, са примарним фокусом на кориснике у Бразилу. Ово означава први познати случај да је злонамерни софтвер посебно прилагођен јужноамеричкој публици.

Методе дистрибуције се у великој мери ослањају на обману. Нападачи користе лажне веб странице које се представљају као Рио де Премиос, лутрија повезана са државном лутријом Рио де Жанеира, заједно са лажним страницама Гугл Плеј продавнице које промовишу наводну апликацију за заштиту картица. Ови канали су осмишљени да обману кориснике и наведу их да преузму угрожену верзију ХандиПеја.

Ланац инфекције: Како се жртве манипулишу

Секвенца напада се ослања на пажљиво оркестрирани друштвени инжењеринг и интеракцију корисника:

  • Жртве су намамљене путем лажне веб странице лутрије и подстакнуте да пошаљу WhatsApp поруку како би преузеле добитке
  • Корисници се преусмеравају да преузму верзију HandyPay-а заражену тројанцем
  • Апликација захтева да буде подешена као подразумевана апликација за плаћање након инсталације
  • Жртвама се налаже да унесу ПИН своје платне картице и да је додирну уређајем.
  • NFC подаци се снимају и преносе у реалном времену на уређај којим управља нападач

Једном извршени, нападачи добијају могућност да обављају неовлашћено подизање новца са банкомата и платне трансакције користећи украдене акредитиве.

Прикривеност и стратегија: Зашто је изабран HandyPay

Кампања, за коју се верује да је почела око новембра 2025. године, показује намерну промену алата. Злонамерна верзија HandyPay-а никада није дистрибуирана преко званичне Google Play продавнице, што потврђује да се нападачи у потпуности ослањају на обмањујуће технике испоруке.
Неколико фактора је вероватно утицало на одлуку да се HandyPay претвори у оружје. Његова нижа цена претплате у поређењу са другим решењима, која често прелази 400 долара месечно, чини га економичним избором за актере претње. Поред тога, апликација не захтева посебне дозволе, већ је потребно само да буде подешена као подразумевана апликација за плаћање. Ово смањује сумњу и повећава вероватноћу успешне инсталације.

ХендиПеј је покренуо интерну истрагу као одговор на злоупотребу своје платформе.

Вештачка интелигенција у развоју злонамерног софтвера: растућа забринутост

Техничка анализа злонамерног софтвера открила је необичне елементе, укључујући присуство емоџија у порукама за отклањање грешака и системским порукама. Ова аномалија указује на могућу умешаност великих језичких модела у генерисање или модификовање злонамерног кода.

Иако дефинитивно приписивање вештачкој интелигенцији остаје непотврђено, налази се поклапају са ширим трендом у индустрији у којој сајбер криминалци све више користе генеративну вештачку интелигенцију како би поједноставили развој злонамерног софтвера. Ово смањује баријеру за улазак, омогућавајући појединцима са ограниченим техничким знањем да креирају софистициране претње.

Растуће претње: NFC преваре у порасту

Појава ове нове варијанте НГејта подвлачи растући тренд финансијских превара заснованих на НФЦ-у. Уместо да се ослањају на успостављене алате као што су НФЦГејт или платформе са малвером као услугом, нападачи сада пренамењују легитимне апликације са уграђеном НФЦ функционалношћу.

Овај приступ побољшава и оперативну ефикасност и могућности избегавања, сигнализирајући забрињавајућу еволуцију у тактикама мобилних претњи и појачавајући потребу за повећаном будношћу у безбедности мобилног плаћања.

 

У тренду

Потврдите нову превару путем е-поште са ажурирањем...

Пецање, Спам
Неочекиване имејлове који захтевају хитну акцију увек треба третирати са опрезом. Сајбер криминалци често прикривају злонамерне поруке као легитимна обавештења како би злоупотребили поверење и изазвали панику. Важно је препознати да преваре попут имејлова „Потврдите ново ажурирање безбедности приватности“ нису повезане ни са једном легитимном компанијом, организацијом или ентитетом, без обзира...

Најгледанији

Учитавање...