Chiến dịch độc hại NGate

Các nhà phân tích an ninh mạng đã xác định một biến thể mới của họ phần mềm độc hại Android có tên NGate, hiện đang khai thác một ứng dụng hợp pháp có tên HandyPay thay vì dựa vào NFCGate. Sự phát triển này cho thấy sự thay đổi trong chiến lược của kẻ tấn công, tận dụng các công cụ đáng tin cậy để tăng cường hiệu quả và tính bí mật của các hoạt động độc hại.

Các tin tặc đã sửa đổi HandyPay, một ứng dụng ban đầu được thiết kế để truyền dữ liệu NFC, bằng cách chèn mã độc. Các dấu hiệu cho thấy một phần mã này có thể đã được tạo ra bằng trí tuệ nhân tạo.

Tương tự như các phiên bản NGate trước đó, ứng dụng được sửa đổi này cho phép kẻ tấn công chặn và chuyển dữ liệu NFC từ thẻ thanh toán của nạn nhân sang thiết bị do chúng kiểm soát. Dữ liệu bị đánh cắp này sau đó được sử dụng để rút tiền ATM không tiếp xúc và thực hiện các giao dịch trái phép.

Ngoài việc chặn thu thập dữ liệu, phần mềm độc hại này còn có khả năng thu thập mã PIN thẻ thanh toán của nạn nhân và truyền nó đến máy chủ điều khiển từ xa (C2), làm tăng đáng kể nguy cơ bị xâm phạm tài chính.

Từ NFSkate đến RatOn: Chiến lược ngày càng mở rộng của phần mềm độc hại.

NGate, hay còn gọi là NFSkate, lần đầu tiên được công khai vào tháng 8 năm 2024 khi các nhà nghiên cứu ghi nhận khả năng thực hiện các cuộc tấn công chuyển tiếp NFC nhằm thu thập dữ liệu thanh toán không tiếp xúc để sử dụng cho mục đích gian lận. Theo thời gian, cơ chế phân phối và chiến thuật hoạt động của nó đã phát triển.

Đến năm 2025, một chiến dịch liên quan có tên RatOn đã giới thiệu các ứng dụng phát tán phần mềm độc hại được ngụy trang dưới dạng các phiên bản TikTok dành cho người lớn. Các ứng dụng lừa đảo này được sử dụng để triển khai NGate và thực hiện các cuộc tấn công chuyển tiếp NFC, cho thấy sự tinh vi ngày càng tăng trong các kỹ thuật kỹ thuật xã hội.

Brazil trong tầm nhìn: Một chiến dịch nhắm mục tiêu cụ thể đang nổi lên.

Chiến dịch NGate mới nhất thể hiện sự thay đổi đáng kể trong việc nhắm mục tiêu theo khu vực địa lý, với trọng tâm chính là người dùng ở Brazil. Đây là trường hợp đầu tiên được biết đến về việc phần mềm độc hại này được thiết kế riêng cho đối tượng người dùng ở Nam Mỹ.

Các phương thức phát tán phần mềm chủ yếu dựa vào sự lừa đảo. Kẻ tấn công sử dụng các trang web giả mạo Rio de Prêmios, một chương trình xổ số liên kết với tổ chức xổ số bang Rio de Janeiro, cùng với các trang Google Play Store giả mạo quảng cáo một ứng dụng bảo vệ thẻ. Các kênh này được thiết kế để đánh lừa người dùng tải xuống phiên bản HandyPay bị xâm nhập.

Chuỗi lây nhiễm: Cách thức nạn nhân bị thao túng

Chuỗi tấn công dựa trên kỹ thuật thao túng tâm lý và tương tác người dùng được dàn dựng cẩn thận:

• Nạn nhân bị dụ dỗ thông qua một trang web xổ số giả mạo và bị yêu cầu gửi tin nhắn WhatsApp để nhận tiền thắng cược.

• Người dùng bị chuyển hướng đến trang tải xuống phiên bản HandyPay đã bị nhiễm mã độc Trojan.

• Ứng dụng yêu cầu được thiết lập làm ứng dụng thanh toán mặc định khi cài đặt.

• Các nạn nhân được hướng dẫn nhập mã PIN thẻ thanh toán và chạm thẻ vào thiết bị.

• Dữ liệu NFC được thu thập và truyền tải theo thời gian thực đến thiết bị do kẻ tấn công điều khiển.

Sau khi thực thi, kẻ tấn công sẽ có được khả năng thực hiện các giao dịch rút tiền và thanh toán trái phép tại máy ATM bằng thông tin đăng nhập bị đánh cắp.

Sự kín đáo và chiến lược: Vì sao HandyPay được lựa chọn

Chiến dịch này, được cho là bắt đầu vào khoảng tháng 11 năm 2025, cho thấy một sự thay đổi có chủ đích trong công cụ. Phiên bản độc hại của HandyPay chưa bao giờ được phân phối thông qua Cửa hàng Google Play chính thức, điều này xác nhận rằng những kẻ tấn công hoàn toàn dựa vào các kỹ thuật phân phối lừa đảo.
Có nhiều yếu tố có thể đã ảnh hưởng đến quyết định sử dụng HandyPay làm công cụ tấn công. Chi phí đăng ký thấp hơn so với các giải pháp khác, thường vượt quá 400 đô la mỗi tháng, khiến nó trở thành lựa chọn kinh tế cho các đối tượng tấn công. Thêm vào đó, ứng dụng này không yêu cầu quyền đặc biệt, chỉ cần được thiết lập làm ứng dụng thanh toán mặc định. Điều này làm giảm sự nghi ngờ và tăng khả năng cài đặt thành công.

HandyPay đã tiến hành một cuộc điều tra nội bộ để đối phó với việc lạm dụng nền tảng của mình.

Trí tuệ nhân tạo trong phát triển phần mềm độc hại: Một mối lo ngại ngày càng tăng

Phân tích kỹ thuật phần mềm độc hại đã phát hiện ra những yếu tố bất thường, bao gồm sự xuất hiện của biểu tượng cảm xúc trong các thông báo gỡ lỗi và hệ thống. Hiện tượng bất thường này cho thấy khả năng có sự tham gia của các mô hình ngôn ngữ lớn trong việc tạo ra hoặc sửa đổi mã độc hại.

Mặc dù chưa thể khẳng định chắc chắn nguồn gốc của AI, nhưng những phát hiện này phù hợp với xu hướng rộng hơn trong ngành công nghiệp, trong đó tội phạm mạng ngày càng tận dụng trí tuệ nhân tạo tạo sinh để đơn giản hóa quá trình phát triển phần mềm độc hại. Điều này làm giảm rào cản gia nhập, cho phép những cá nhân có chuyên môn kỹ thuật hạn chế tạo ra các mối đe dọa tinh vi.

Bối cảnh mối đe dọa ngày càng gia tăng: Gian lận NFC đang leo thang.

Sự xuất hiện của biến thể NGate mới này nhấn mạnh xu hướng ngày càng gia tăng trong gian lận tài chính dựa trên NFC. Thay vì dựa vào các công cụ đã được thiết lập như NFCGate hoặc các nền tảng phần mềm độc hại dưới dạng dịch vụ, tin tặc hiện đang sử dụng lại các ứng dụng hợp pháp có chức năng NFC tích hợp sẵn.

Cách tiếp cận này giúp tăng cường cả hiệu quả hoạt động và khả năng né tránh, báo hiệu một sự phát triển đáng lo ngại trong các chiến thuật đe dọa trên thiết bị di động và củng cố nhu cầu tăng cường cảnh giác trong bảo mật thanh toán di động.