Шкідлива кампанія NGate
Аналітики з кібербезпеки виявили новий варіант сімейства шкідливих програм для Android, відомого як NGate, який тепер використовує легітимний додаток під назвою HandyPay, а не покладається на NFCGate. Ця еволюція свідчить про зміну стратегії зловмисників, які використовують перевірені інструменти для підвищення ефективності та прихованості шкідливих операцій.
Зловмисники модифікували HandyPay, застосунок, спочатку розроблений для передачі даних NFC, шляхом впровадження шкідливого коду. Індикатори свідчать про те, що частини цього коду могли бути згенеровані за допомогою штучного інтелекту.
Подібно до попередніх варіантів NGate, цей модифікований додаток дозволяє зловмисникам перехоплювати та передавати дані NFC з платіжної картки жертви на пристрій, що знаходиться під їхнім контролем. Ці викрадені дані згодом використовуються для безконтактного зняття готівки в банкоматах та несанкціонованих транзакцій.
Окрім перехоплення даних, шкідливе програмне забезпечення здатне захоплювати PIN-код платіжної картки жертви та передавати його на віддалений сервер командування та управління (C2), що значно збільшує ризик фінансової компрометації.
Зміст
Від NFSkate до RatOn: Розширення посібника зі створення шкідливого програмного забезпечення
NGate, також відомий як NFSkate, вперше з'явився публічно у серпні 2024 року, коли дослідники задокументували його здатність виконувати NFC-атаки, спрямовані на збір даних безконтактних платежів для шахрайського використання. З часом його механізми доставки та операційна тактика розвивалися.
До 2025 року пов'язана кампанія під назвою RatOn запровадила додатки-дроппери, замасковані під версії TikTok для дорослих. Ці оманливі додатки використовувалися для розгортання NGate та виконання атак NFC-ретрансляції, демонструючи зростаючу складність методів соціальної інженерії.
Бразилія у фокусі: зароджується цілеспрямована кампанія
Остання кампанія NGate являє собою помітний зсув у географічному таргетуванні, з основним акцентом на користувачах у Бразилії. Це перший відомий випадок, коли шкідливе програмне забезпечення було спеціально адаптовано для південноамериканської аудиторії.
Методи розповсюдження значною мірою покладаються на обман. Зловмисники використовують фальшиві веб-сайти, що видають себе за Rio de Prêmios, лотерею, пов’язану з державною лотерейною організацією Ріо-де-Жанейро, а також шахрайські сторінки Google Play Store, що рекламують нібито додаток для захисту карток. Ці канали розроблені для того, щоб ввести користувачів в оману та змусити їх завантажити скомпрометовану версію HandyPay.
Ланцюг зараження: як маніпулюють жертвами
Послідовність атаки спирається на ретельно сплановану соціальну інженерію та взаємодію з користувачем:
- Жертв заманюють через фальшивий веб-сайт лотереї та пропонують написати повідомлення у WhatsApp, щоб отримати виграш.
- Користувачів перенаправляють для завантаження троянської версії HandyPay.
- Додаток просить встановити його як платіжний додаток за замовчуванням після встановлення
- Жертвам пропонують ввести PIN-код своєї платіжної картки та піднести її до пристрою
- Дані NFC захоплюються та передаються в режимі реального часу на пристрій, яким керує зловмисник.
Після виконання зловмисники отримують можливість здійснювати несанкціоноване зняття готівки в банкоматах та платіжні операції, використовуючи викрадені облікові дані.
Прихованість та стратегія: чому було обрано HandyPay
Кампанія, яка, як вважається, розпочалася приблизно в листопаді 2025 року, демонструє навмисну зміну інструментарію. Шкідлива версія HandyPay ніколи не поширювалася через офіційний магазин Google Play, що підтверджує, що зловмисники повністю покладаються на оманливі методи доставки.
На рішення використовувати HandyPay як захисну зброю, ймовірно, вплинуло кілька факторів. Його нижча вартість підписки порівняно з іншими рішеннями, яка часто перевищує 400 доларів на місяць, робить його економічним вибором для зловмисників. Крім того, додаток не потребує спеціальних дозволів, його потрібно лише встановити як платіжний додаток за замовчуванням. Це зменшує підозри та збільшує ймовірність успішного встановлення.
HandyPay розпочала внутрішнє розслідування у відповідь на зловживання на своїй платформі.
Штучний інтелект у розробці шкідливого програмного забезпечення: зростаюча проблема
Технічний аналіз шкідливого програмного забезпечення виявив незвичайні елементи, зокрема наявність емодзі в повідомленнях налагодження та системних повідомленнях. Ця аномалія свідчить про можливу участь моделей великих мов програмування у створенні або модифікації шкідливого коду.
Хоча остаточне приписування ШІ залишається непідтвердженим, результати узгоджуються з ширшою галузевою тенденцією, в якій кіберзлочинці все частіше використовують генеративний штучний інтелект для оптимізації розробки шкідливого програмного забезпечення. Це знижує поріг входу, дозволяючи людям з обмеженими технічними знаннями створювати складні загрози.
Зростаючий ландшафт загроз: Шахрайство NFC на підйомі
Поява цього нового варіанту NGate підкреслює зростаючу тенденцію фінансового шахрайства на основі NFC. Замість того, щоб покладатися на такі усталені інструменти, як NFCGate або платформи «шкідливе програмне забезпечення як послуга», зловмисники тепер перепрофілюють легітимні програми з вбудованою функціональністю NFC.
Такий підхід підвищує як операційну ефективність, так і можливості ухилення від атак, сигналізуючи про тривожну еволюцію тактик мобільних загроз та підкреслюючи необхідність підвищеної пильності в безпеці мобільних платежів.
