Kampanya ng Malisyosong NGate

Natukoy ng mga cybersecurity analyst ang isang bagong variant ng pamilya ng Android malware na kilala bilang NGate, na ngayon ay gumagamit ng isang lehitimong aplikasyon na tinatawag na HandyPay sa halip na umasa sa NFCGate. Itinatampok ng ebolusyong ito ang isang pagbabago sa estratehiya ng mga umaatake, gamit ang mga mapagkakatiwalaang tool upang mapahusay ang bisa at nakatagong mga operasyon ng malisyosong malware.

Binago ng mga umaatake ang HandyPay, isang application na orihinal na idinisenyo upang maghatid ng data ng NFC, sa pamamagitan ng paglalagay ng malisyosong code. Ipinahihiwatig ng mga indikasyon na ang mga bahagi ng code na ito ay maaaring nabuo gamit ang artificial intelligence.

Katulad ng mga naunang variant ng NGate, ang binagong application na ito ay nagbibigay-daan sa mga umaatake na maharang at ilipat ang data ng NFC mula sa payment card ng biktima patungo sa isang device na nasa ilalim ng kanilang kontrol. Ang ninakaw na data na ito ay ginagamit kalaunan para sa mga contactless ATM withdrawal at mga hindi awtorisadong transaksyon.

Bukod sa pagharang ng datos, kayang makuha ng malware ang PIN ng payment card ng biktima at ipadala ito sa isang remote Command-and-Control (C2) server, na lubhang nagpapataas ng panganib ng kompromiso sa pananalapi.

Mula NFSkate hanggang RatOn: Ang Lumalawak na Playbook ng Malware

Ang NGate, na tinutukoy din bilang NFSkate, ay unang lumitaw sa publiko noong Agosto 2024 nang idokumento ng mga mananaliksik ang kakayahan nitong magsagawa ng mga NFC relay attack na naglalayong mangolekta ng contactless payment data para sa mapanlinlang na paggamit. Sa paglipas ng panahon, ang mga mekanismo ng paghahatid at mga taktika sa operasyon nito ay umunlad.

Pagsapit ng 2025, isang kaugnay na kampanya na kinilala bilang RatOn ang nagpakilala ng mga dropper application na nagbalatkayo bilang mga bersyon ng TikTok na may temang pang-adulto. Ginamit ang mga mapanlinlang na app na ito upang i-deploy ang NGate at magsagawa ng mga NFC relay attack, na nagpapakita ng tumitinding sopistikasyon sa mga pamamaraan ng social engineering.

Brazil na Nakatutok: Lumilitaw ang Isang Naka-target na Kampanya

Ang pinakabagong kampanyang NGate ay kumakatawan sa isang kapansin-pansing pagbabago sa heograpikong pag-target, na may pangunahing pokus sa mga gumagamit sa Brazil. Ito ang unang kilalang pagkakataon ng malware na partikular na ginawa para sa isang madla sa Timog Amerika.

Ang mga pamamaraan ng pamamahagi ay lubos na umaasa sa panlilinlang. Gumagamit ang mga umaatake ng mga pekeng website na nagpapanggap na Rio de Prêmios, isang loterya na nauugnay sa organisasyon ng loterya ng estado ng Rio de Janeiro, kasama ang mga mapanlinlang na pahina ng Google Play Store na nagpo-promote ng isang umano'y app para sa proteksyon ng card. Ang mga channel na ito ay idinisenyo upang linlangin ang mga user na mag-download ng isang nakompromisong bersyon ng HandyPay.

Kadena ng Impeksyon: Paano Minamanipula ang mga Biktima

Ang pagkakasunod-sunod ng pag-atake ay nakasalalay sa maingat na inayos na social engineering at pakikipag-ugnayan ng gumagamit:

• Ang mga biktima ay naaakit sa pamamagitan ng isang pekeng website ng lottery at hinihikayat na magpadala ng mensahe sa WhatsApp para makuha ang kanilang panalo.

• Ang mga gumagamit ay ire-redirect upang mag-download ng isang trojanized na bersyon ng HandyPay

• Hinihiling ng application na itakda bilang default na payment app sa pag-install

• Ang mga biktima ay inaatasan na ilagay ang PIN ng kanilang payment card at i-tap ang kanilang card sa device

• Ang datos ng NFC ay kinukuha at ipinapadala nang real time sa isang aparatong kontrolado ng attacker

Kapag na-execute na, magkakaroon ng kakayahang magsagawa ng mga hindi awtorisadong pagwi-withdraw sa ATM at mga transaksyon sa pagbabayad ang mga ninakaw na kredensyal ng mga umaatake.

Patago at Istratehiya: Bakit Pinili ang HandyPay

Ang kampanya, na pinaniniwalaang nagsimula noong bandang Nobyembre 2025, ay nagpapakita ng isang sinasadyang pagbabago sa mga kagamitan. Ang malisyosong bersyon ng HandyPay ay hindi kailanman naipamahagi sa pamamagitan ng opisyal na Google Play Store, na nagpapatunay na ang mga umaatake ay lubos na umaasa sa mga mapanlinlang na pamamaraan ng paghahatid.
Maraming salik ang malamang na nakaimpluwensya sa desisyon na gamitin ang HandyPay bilang armas. Ang mas mababang halaga ng subscription nito kumpara sa ibang mga solusyon, na kadalasang lumalagpas sa $400 kada buwan, ay ginagawa itong isang matipid na pagpipilian para sa mga threat actor. Bukod pa rito, ang application ay hindi nangangailangan ng mga espesyal na pahintulot, kailangan lamang itong itakda bilang default na payment app. Binabawasan nito ang hinala at pinapataas ang posibilidad ng matagumpay na pag-install.

Nagsimula ang HandyPay ng isang panloob na imbestigasyon bilang tugon sa pang-aabuso sa platform nito.

AI sa Pag-develop ng Malware: Isang Lumalaking Pag-aalala

Natuklasan ng teknikal na pagsusuri ng malware ang mga hindi pangkaraniwang elemento, kabilang ang pagkakaroon ng mga emoji sa loob ng mga mensahe ng debug at system. Ipinahihiwatig ng anomalya na ito ang posibleng pagkakasangkot ng malalaking modelo ng wika sa pagbuo o pagbabago ng malisyosong code.

Bagama't hindi pa nakukumpirma ang tiyak na pagpapatungkol sa AI, ang mga natuklasan ay naaayon sa mas malawak na trend sa industriya kung saan ang mga cybercriminal ay lalong gumagamit ng generative artificial intelligence upang mapabilis ang pagbuo ng malware. Binabawasan nito ang hadlang sa pagpasok, na nagbibigay-daan sa mga indibidwal na may limitadong teknikal na kadalubhasaan na lumikha ng mga sopistikadong banta.

Lumalaking Banta: Patuloy na Paglago ang Pandaraya sa NFC

Ang paglitaw ng bagong variant na NGate na ito ay nagbibigay-diin sa lumalaking trend sa pandaraya sa pananalapi na nakabatay sa NFC. Sa halip na umasa sa mga establisadong tool tulad ng NFCGate o mga malware-as-a-service platform, ginagamit na ngayon ng mga attacker ang mga lehitimong application na may built-in na NFC functionality.

Pinahuhusay ng pamamaraang ito ang kahusayan sa operasyon at kakayahan sa pag-iwas, na nagpapahiwatig ng nakababahalang ebolusyon sa mga taktika ng banta sa mobile at pinatitibay ang pangangailangan para sa mas mahigpit na pagbabantay sa seguridad ng pagbabayad sa mobile.