แคมเปญที่เป็นอันตรายของ NGate

นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ระบุพบมัลแวร์ตระกูล NGate บนระบบปฏิบัติการ Android รูปแบบใหม่ ซึ่งตอนนี้ใช้ประโยชน์จากแอปพลิเคชันที่ถูกต้องตามกฎหมายอย่าง HandyPay แทนที่จะใช้ NFCGate วิวัฒนาการนี้แสดงให้เห็นถึงการเปลี่ยนแปลงกลยุทธ์ของผู้โจมตี โดยใช้เครื่องมือที่เชื่อถือได้เพื่อเพิ่มประสิทธิภาพและความลับในการปฏิบัติการโจมตี

ผู้โจมตีได้ดัดแปลง HandyPay ซึ่งเป็นแอปพลิเคชันที่ออกแบบมาเพื่อส่งต่อข้อมูล NFC โดยการแทรกโค้ดที่เป็นอันตรายเข้าไป หลักฐานบ่งชี้ว่าบางส่วนของโค้ดนี้อาจถูกสร้างขึ้นโดยใช้ปัญญาประดิษฐ์

เช่นเดียวกับ NGate เวอร์ชันก่อนหน้า แอปพลิเคชันที่ได้รับการดัดแปลงนี้ทำให้ผู้โจมตีสามารถดักจับและถ่ายโอนข้อมูล NFC จากบัตรชำระเงินของเหยื่อไปยังอุปกรณ์ที่อยู่ภายใต้การควบคุมของพวกเขาได้ จากนั้นข้อมูลที่ถูกขโมยนี้จะถูกนำไปใช้สำหรับการถอนเงินจากตู้ ATM แบบไร้สัมผัสและการทำธุรกรรมที่ไม่ได้รับอนุญาต

นอกจากการดักจับข้อมูลแล้ว มัลแวร์นี้ยังสามารถดักจับรหัส PIN ของบัตรชำระเงินของเหยื่อและส่งไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ระยะไกล ซึ่งเพิ่มความเสี่ยงต่อการสูญเสียทางการเงินอย่างมาก

จาก NFSkate ถึง RatOn: คู่มือการโจมตีของมัลแวร์ที่ขยายตัวอย่างต่อเนื่อง

NGate หรือที่รู้จักกันในชื่อ NFSkate ปรากฏตัวสู่สาธารณะครั้งแรกในเดือนสิงหาคม 2024 เมื่อนักวิจัยได้บันทึกความสามารถในการโจมตีแบบ NFC relay เพื่อรวบรวมข้อมูลการชำระเงินแบบไร้สัมผัสเพื่อนำไปใช้ในทางที่ผิด เมื่อเวลาผ่านไป กลไกการส่งและกลยุทธ์การปฏิบัติงานของมันได้พัฒนาขึ้น

ในปี 2025 แคมเปญที่เกี่ยวข้องซึ่งระบุว่าเป็น RatOn ได้เปิดตัวแอปพลิเคชันดรอปเปอร์ที่ปลอมตัวเป็นแอป TikTok เวอร์ชันสำหรับผู้ใหญ่ แอปหลอกลวงเหล่านี้ถูกใช้เพื่อติดตั้ง NGate และดำเนินการโจมตีแบบ NFC relay ซึ่งแสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นในเทคนิควิศวกรรมสังคม

บราซิลในมุมมองเฉพาะ: แคมเปญที่มุ่งเป้าหมายเฉพาะเริ่มปรากฏให้เห็น

แคมเปญล่าสุดของ NGate แสดงให้เห็นถึงการเปลี่ยนแปลงที่น่าสนใจในการกำหนดเป้าหมายทางภูมิศาสตร์ โดยมุ่งเน้นไปที่ผู้ใช้ในบราซิลเป็นหลัก นี่ถือเป็นครั้งแรกที่มีการปรับแต่งมัลแวร์นี้โดยเฉพาะสำหรับกลุ่มเป้าหมายในอเมริกาใต้

วิธีการเผยแพร่ช่องโหว่นี้อาศัยการหลอกลวงเป็นอย่างมาก ผู้โจมตีใช้เว็บไซต์ปลอมที่แอบอ้างเป็น Rio de Prêmios ซึ่งเป็นลอตเตอรี่ที่เกี่ยวข้องกับองค์กรลอตเตอรี่ของรัฐริโอเดจาเนโร รวมถึงหน้าเว็บ Google Play Store ปลอมที่โปรโมตแอปพลิเคชันป้องกันบัตรปลอม ช่องทางเหล่านี้ถูกออกแบบมาเพื่อหลอกให้ผู้ใช้ดาวน์โหลด HandyPay เวอร์ชันที่ถูกบุกรุก

ห่วงโซ่การแพร่เชื้อ: เหยื่อถูกชักจูงได้อย่างไร

ลำดับการโจมตีอาศัยการวางแผนอย่างรอบคอบโดยใช้เทคนิคทางสังคมและการมีปฏิสัมพันธ์กับผู้ใช้:

เมื่อทำการแฮ็กสำเร็จแล้ว ผู้โจมตีจะสามารถถอนเงินจากตู้ ATM และทำธุรกรรมชำระเงินโดยไม่ได้รับอนุญาตโดยใช้ข้อมูลประจำตัวที่ถูกขโมยมาได้

การปกปิดและกลยุทธ์: เหตุใด HandyPay จึงได้รับเลือก

แคมเปญดังกล่าว ซึ่งเชื่อว่าเริ่มต้นประมาณเดือนพฤศจิกายน 2025 แสดงให้เห็นถึงการเปลี่ยนแปลงเครื่องมืออย่างจงใจ เวอร์ชันที่เป็นอันตรายของ HandyPay ไม่เคยถูกเผยแพร่ผ่าน Google Play Store อย่างเป็นทางการ ซึ่งยืนยันว่าผู้โจมตีอาศัยเทคนิคการเผยแพร่ที่หลอกลวงโดยสิ้นเชิง
ปัจจัยหลายประการน่าจะส่งผลต่อการตัดสินใจนำ HandyPay มาใช้เป็นเครื่องมือโจมตี ค่าสมัครใช้งานที่ต่ำกว่าเมื่อเทียบกับโซลูชันอื่นๆ ซึ่งมักมีราคาสูงกว่า 400 ดอลลาร์ต่อเดือน ทำให้ HandyPay เป็นตัวเลือกที่ประหยัดสำหรับผู้โจมตี นอกจากนี้ แอปพลิเคชันนี้ไม่ต้องการสิทธิ์พิเศษใดๆ เพียงแค่ตั้งค่าให้เป็นแอปชำระเงินเริ่มต้นก็เพียงพอแล้ว ซึ่งจะช่วยลดความสงสัยและเพิ่มโอกาสในการติดตั้งสำเร็จ

HandyPay ได้เริ่มการสอบสวนภายในเพื่อตอบสนองต่อการใช้งานแพลตฟอร์มในทางที่ผิด

ปัญญาประดิษฐ์ในการพัฒนามัลแวร์: ข้อกังวลที่เพิ่มมากขึ้น

การวิเคราะห์ทางเทคนิคของมัลแวร์ได้เปิดเผยองค์ประกอบที่ผิดปกติหลายอย่าง รวมถึงการปรากฏของอีโมจิในข้อความดีบักและข้อความระบบ ความผิดปกตินี้ชี้ให้เห็นถึงความเป็นไปได้ที่แบบจำลองภาษาขนาดใหญ่จะเข้ามาเกี่ยวข้องในการสร้างหรือแก้ไขโค้ดที่เป็นอันตราย

แม้ว่าจะยังไม่มีการยืนยันอย่างแน่ชัดว่าปัญญาประดิษฐ์ (AI) เป็นสาเหตุ แต่ผลการวิจัยสอดคล้องกับแนวโน้มในอุตสาหกรรมที่กว้างขึ้น ซึ่งอาชญากรไซเบอร์ใช้ปัญญาประดิษฐ์เชิงสร้างสรรค์ (AI) มากขึ้นเรื่อยๆ เพื่อปรับปรุงกระบวนการพัฒนาซอฟต์แวร์มัลแวร์ ซึ่งจะลดอุปสรรคในการเข้าถึง ทำให้บุคคลที่มีความเชี่ยวชาญด้านเทคนิคจำกัดสามารถสร้างภัยคุกคามที่ซับซ้อนได้

สถานการณ์ภัยคุกคามที่เพิ่มสูงขึ้น: การฉ้อโกง NFC กำลังเพิ่มสูงขึ้น

การปรากฏตัวของ NGate เวอร์ชันใหม่นี้เน้นย้ำถึงแนวโน้มที่เพิ่มขึ้นของการฉ้อโกงทางการเงินโดยใช้ NFC แทนที่จะพึ่งพาเครื่องมือที่มีอยู่แล้ว เช่น NFCGate หรือแพลตฟอร์มมัลแวร์แบบบริการ (malware-as-a-service) ผู้โจมตีในปัจจุบันกำลังดัดแปลงแอปพลิเคชันที่ถูกต้องตามกฎหมายซึ่งมีฟังก์ชัน NFC ในตัว

แนวทางนี้ช่วยเพิ่มทั้งประสิทธิภาพในการดำเนินงานและความสามารถในการหลบเลี่ยง ซึ่งบ่งชี้ถึงวิวัฒนาการที่น่าเป็นห่วงในกลยุทธ์ภัยคุกคามทางมือถือ และตอกย้ำความจำเป็นในการเฝ้าระวังความปลอดภัยของการชำระเงินผ่านมือถือให้มากขึ้น