NGate Kötü Amaçlı Kampanyası
Siber güvenlik analistleri, artık NFCGate'e güvenmek yerine HandyPay adlı meşru bir uygulamayı kullanan NGate olarak bilinen Android kötü amaçlı yazılım ailesinin yeni bir varyantını tespit etti. Bu evrim, saldırgan stratejisindeki bir değişimi vurguluyor; kötü amaçlı operasyonların etkinliğini ve gizliliğini artırmak için güvenilir araçlardan yararlanıyorlar.
Saldırganlar, başlangıçta NFC verilerini iletmek için tasarlanmış olan HandyPay uygulamasını kötü amaçlı kod enjekte ederek değiştirdiler. Göstergeler, bu kodun bazı bölümlerinin yapay zeka kullanılarak oluşturulmuş olabileceğini düşündürüyor.
Önceki NGate varyantlarına benzer şekilde, bu değiştirilmiş uygulama, saldırganların kurbanın ödeme kartından NFC verilerini ele geçirip kendi kontrollerindeki bir cihaza aktarmalarına olanak tanır. Çalınan bu veriler daha sonra temassız ATM para çekme işlemleri ve yetkisiz işlemler için kullanılır.
Veri ele geçirmenin yanı sıra, bu kötü amaçlı yazılım kurbanın ödeme kartı PIN kodunu yakalayıp uzaktaki bir Komuta ve Kontrol (C2) sunucusuna iletebiliyor ve bu da finansal güvenliğin tehlikeye atılması riskini önemli ölçüde artırıyor.
İçindekiler
NFSkate’ten RatOn’a: Kötü Amaçlı Yazılımların Genişleyen Oyun Kitabı
NGate, diğer adıyla NFSkate, ilk olarak Ağustos 2024'te araştırmacıların temassız ödeme verilerini dolandırıcılık amacıyla ele geçirmeyi hedefleyen NFC röle saldırıları gerçekleştirme yeteneğini belgelemesiyle kamuoyunun dikkatini çekti. Zamanla, dağıtım mekanizmaları ve operasyonel taktikleri gelişti.
2025 yılına gelindiğinde, RatOn olarak tanımlanan ilgili bir kampanya, TikTok'un yetişkinlere yönelik sürümleri gibi görünen sahte uygulamalar kullanıma sundu. Bu aldatıcı uygulamalar, NGate'i yaymak ve NFC röle saldırıları gerçekleştirmek için kullanıldı ve sosyal mühendislik tekniklerindeki artan gelişmişliği gösterdi.
Brezilya Odak Noktasında: Hedef Odaklı Bir Kampanya Ortaya Çıkıyor
NGate'in son kampanyası, coğrafi hedeflemede önemli bir değişikliği temsil ediyor ve öncelikli olarak Brezilya'daki kullanıcılara odaklanıyor. Bu, kötü amaçlı yazılımın özellikle Güney Amerika kitlesi için uyarlanmasının bilinen ilk örneğidir.
Dağıtım yöntemleri büyük ölçüde aldatmaya dayanmaktadır. Saldırganlar, Rio de Janeiro eyalet piyango kuruluşuyla ilişkili bir piyango olan Rio de Prêmios'u taklit eden sahte web sitelerinin yanı sıra, sözde kart koruma uygulamasını tanıtan sahte Google Play Store sayfaları kullanmaktadır. Bu kanallar, kullanıcıları HandyPay'in tehlikeye atılmış bir sürümünü indirmeye yönlendirmek için tasarlanmıştır.
Enfeksiyon Zinciri: Kurbanlar Nasıl Manipüle Ediliyor?
Saldırı dizisi, dikkatlice planlanmış sosyal mühendislik ve kullanıcı etkileşimine dayanmaktadır:
- Kurbanlar sahte bir piyango sitesi aracılığıyla tuzağa düşürülüyor ve kazançlarını talep etmek için WhatsApp üzerinden mesaj göndermeye yönlendiriliyorlar.
- Kullanıcılar, HandyPay'in truva atı bulaşmış bir sürümünü indirmek üzere yönlendiriliyor.
- Uygulama, yüklendikten sonra varsayılan ödeme uygulaması olarak ayarlanmasını talep ediyor.
- Mağdurlara ödeme kartlarının PIN kodunu girmeleri ve kartlarını cihaza dokundurmaları talimatı veriliyor.
- NFC verileri yakalanır ve gerçek zamanlı olarak saldırganın kontrolündeki bir cihaza iletilir.
Saldırı gerçekleştirildikten sonra, saldırganlar çalınan kimlik bilgilerini kullanarak yetkisiz ATM para çekme ve ödeme işlemleri gerçekleştirme yeteneği kazanırlar.
Gizlilik ve Strateji: HandyPay Neden Seçildi?
Kasım 2025 civarında başladığı düşünülen bu kampanya, kullanılan araçlarda kasıtlı bir değişikliği gösteriyor. HandyPay'in kötü amaçlı sürümü hiçbir zaman resmi Google Play Store üzerinden dağıtılmadı; bu da saldırganların tamamen aldatıcı dağıtım tekniklerine güvendiklerini doğruluyor.
HandyPay'i kötü amaçlı yazılım haline getirme kararını etkileyen birkaç faktör olabilir. Diğer çözümlere kıyasla daha düşük abonelik maliyeti (genellikle aylık 400 doları aşan fiyatlar), onu siber suçlular için ekonomik bir seçenek haline getiriyor. Ayrıca, uygulama özel izinler gerektirmiyor, yalnızca varsayılan ödeme uygulaması olarak ayarlanması yeterli. Bu da şüpheyi azaltıyor ve başarılı kurulum olasılığını artırıyor.
HandyPay, platformunun kötüye kullanılmasıyla ilgili olarak şirket içi bir soruşturma başlattı.
Yapay Zekanın Zararlı Yazılım Geliştirmedeki Rolü: Artan Bir Endişe Kaynağı
Kötü amaçlı yazılımın teknik analizi, hata ayıklama ve sistem mesajlarında emojilerin bulunması da dahil olmak üzere alışılmadık unsurları ortaya çıkardı. Bu anormallik, kötü amaçlı kodun oluşturulmasında veya değiştirilmesinde büyük dil modellerinin olası rolünü düşündürmektedir.
Yapay zekâya kesin atıf henüz doğrulanmamış olsa da, bulgular siber suçluların kötü amaçlı yazılım geliştirmeyi kolaylaştırmak için üretken yapay zekâyı giderek daha fazla kullandığı daha geniş bir sektör trendiyle örtüşüyor. Bu durum, giriş engelini düşürerek, sınırlı teknik uzmanlığa sahip kişilerin karmaşık tehditler oluşturmasını sağlıyor.
Yükselen Tehdit Ortamı: NFC Dolandırıcılığı Artış Gösteriyor
Bu yeni NGate varyantının ortaya çıkışı, NFC tabanlı finansal dolandırıcılıkta artan bir eğilimi vurguluyor. Saldırganlar artık NFCGate veya kötü amaçlı yazılım hizmeti platformları gibi yerleşik araçlara güvenmek yerine, yerleşik NFC işlevine sahip meşru uygulamaları yeniden kullanıyorlar.
Bu yaklaşım hem operasyonel verimliliği hem de kaçınma yeteneklerini artırarak mobil tehdit taktiklerinde endişe verici bir evrime işaret ediyor ve mobil ödeme güvenliğinde daha yüksek bir dikkat gerekliliğini pekiştiriyor.
