Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara NGate skadlig kampanj

NGate skadlig kampanj

Med Mezo år Mobil skadlig programvara
Översätt till:

Cybersäkerhetsanalytiker har identifierat en ny variant av Android-familjen av skadliga program, känd som NGate, som nu utnyttjar en legitim applikation som heter HandyPay istället för att förlita sig på NFCGate. Denna utveckling belyser ett skifte i angriparstrategin, där man använder pålitliga verktyg för att förbättra effektiviteten och smygandet av skadliga operationer.

Angriparna modifierade HandyPay, en applikation som ursprungligen var utformad för att vidarebefordra NFC-data, genom att injicera skadlig kod. Indikatorer tyder på att delar av denna kod kan ha genererats med hjälp av artificiell intelligens.

I likhet med tidigare NGate-varianter gör den här modifierade applikationen det möjligt för angripare att fånga upp och överföra NFC-data från ett offers betalkort till en enhet de kontrollerar. Denna stulna data används sedan för kontaktlösa uttag i bankomater och obehöriga transaktioner.

Förutom dataavlyssning kan skadlig kod fånga offrets PIN-kod för betalkort och överföra den till en fjärrserver (C2), vilket avsevärt ökar risken för ekonomisk intrång.

Från NFSkate till RatOn: Skadlig programvaras expanderande spelbok

NGate, även kallat NFSkate, dök först upp offentligt i augusti 2024 när forskare dokumenterade dess förmåga att utföra NFC-reläattacker som syftar till att samla in kontaktlös betalningsdata för bedrägligt bruk. Med tiden har dess leveransmekanismer och operativa taktiker utvecklats.

År 2025 introducerade en relaterad kampanj, identifierad som RatOn, dropper-appar förklädda till vuxenversioner av TikTok. Dessa vilseledande appar användes för att driftsätta NGate och utföra NFC-reläattacker, vilket demonstrerar ökad sofistikering inom social ingenjörskonst.

Brasilien i fokus: En riktad kampanj framträder

Den senaste NGate-kampanjen representerar ett anmärkningsvärt skifte i geografisk inriktning, med primärt fokus på användare i Brasilien. Detta markerar det första kända fallet där skadlig programvara är specifikt anpassad för en sydamerikansk publik.

Distributionsmetoderna är starkt beroende av bedrägeri. Angripare använder falska webbplatser som utger sig för att vara Rio de Prêmios, ett lotteri som är kopplat till Rio de Janeiros statliga lotteriorganisation, tillsammans med bedrägliga Google Play Store-sidor som marknadsför en påstådd app för kortskydd. Dessa kanaler är utformade för att vilseleda användare till att ladda ner en komprometterad version av HandyPay.

Smittkedjan: Hur offer manipuleras

Attacksekvensen bygger på noggrant orkestrerad social ingenjörskonst och användarinteraktion:

  • Offren lockas via en falsk lotteriwebbplats och uppmanas att skicka ett WhatsApp-meddelande för att hämta ut vinsten.
  • Användare omdirigeras för att ladda ner en trojaniserad version av HandyPay
  • Appen begär att bli inställd som standardbetalningsapp vid installationen
  • Offren instrueras att ange sin PIN-kod för betalkortet och trycka kortet mot enheten
  • NFC-data samlas in och vidarebefordras i realtid till en angriparkontrollerad enhet

När de väl är avrättade får angriparna möjligheten att utföra obehöriga uttag och betalningstransaktioner i bankomater med hjälp av de stulna inloggningsuppgifterna.

Stealth och strategi: Varför HandyPay valdes

Kampanjen, som tros ha startat runt november 2025, visar på ett avsiktligt skifte i verktygsanvändning. Den skadliga versionen av HandyPay har aldrig distribuerats via den officiella Google Play Store, vilket bekräftar att angriparna helt förlitar sig på vilseledande leveranstekniker.
Flera faktorer påverkade sannolikt beslutet att beväpna HandyPay. Dess lägre prenumerationskostnad jämfört med andra lösningar, ofta över 400 dollar per månad, gör det till ett ekonomiskt val för hotaktörer. Dessutom kräver applikationen inga särskilda behörigheter, utan behöver bara ställas in som standardbetalningsapp. Detta minskar misstankar och ökar sannolikheten för en lyckad installation.

HandyPay har inlett en intern utredning med anledning av missbruket av sin plattform.

AI i utveckling av skadlig programvara: En växande oro

Teknisk analys av den skadliga programvaran har avslöjat ovanliga element, inklusive förekomsten av emojis i felsöknings- och systemmeddelanden. Denna avvikelse tyder på att stora språkmodeller kan vara inblandade i att generera eller modifiera den skadliga koden.

Även om den definitiva hänvisningen till AI fortfarande är obekräftad, överensstämmer resultaten med en bredare branschtrend där cyberbrottslingar i allt högre grad använder generativ artificiell intelligens för att effektivisera utvecklingen av skadlig programvara. Detta sänker inträdesbarriären och gör det möjligt för individer med begränsad teknisk expertis att skapa sofistikerade hot.

Stigande hotbild: NFC-bedrägerier på uppgång

Framväxten av denna nya NGate-variant understryker en växande trend inom NFC-baserade finansiella bedrägerier. Istället för att förlita sig på etablerade verktyg som NFCGate eller plattformar för skadlig programvara som en tjänst, återanvänder angripare nu legitima applikationer med inbyggd NFC-funktionalitet.

Denna metod förbättrar både den operativa effektiviteten och förmågan att undvika attacker, vilket signalerar en oroande utveckling av mobila hottaktiker och förstärker behovet av ökad vaksamhet inom mobilbetalningssäkerhet.

 

Trendigt

Bekräfta ny e-postbedrägeri om sekretessuppdateringar

Nätfiske, Spam
Oväntade e-postmeddelanden som kräver omedelbara åtgärder bör alltid behandlas med försiktighet. Cyberbrottslingar döljer ofta skadliga meddelanden som legitima aviseringar för att utnyttja förtroende och utlösa panik. Det är viktigt att inse att bedrägerier som e-postmeddelandena "Bekräfta ny integritets- och säkerhetsuppdatering" inte är kopplade till några legitima företag, organisationer...

Mest sedda

Läser in...