NGate恶意活动
网络安全分析师发现了一种名为NGate的安卓恶意软件家族的新变种,该变种不再依赖NFCGate,而是利用名为HandyPay的合法应用程序进行攻击。这一演变凸显了攻击者策略的转变,即利用可信工具来增强恶意行动的效率和隐蔽性。
攻击者篡改了 HandyPay 应用程序(该应用程序原本用于传输 NFC 数据),注入了恶意代码。种种迹象表明,部分恶意代码可能是利用人工智能生成的。
与之前的NGate变种类似,这款修改后的应用程序使攻击者能够拦截受害者支付卡上的NFC数据,并将其传输到攻击者控制的设备上。随后,这些被盗数据被用于非接触式ATM取款和未经授权的交易。
除了数据拦截之外,该恶意软件还能捕获受害者的支付卡 PIN 码并将其传输到远程命令与控制 (C2) 服务器,从而显著增加财务损失的风险。
目录
从 NFSkate 到 RatOn:恶意软件不断扩展的剧本
NGate(又称NFSkate)于2024年8月首次公开亮相,当时研究人员记录了其执行NFC中继攻击的能力,旨在窃取非接触式支付数据用于欺诈活动。随着时间的推移,其传播机制和运行策略不断演变。
到2025年,一项名为RatOn的相关攻击活动推出了伪装成成人版TikTok的投放器应用程序。这些欺骗性应用程序被用于部署NGate并执行NFC中继攻击,这表明社会工程技术日趋复杂。
聚焦巴西:一场有针对性的运动正在兴起
最新一轮NGate攻击活动在地域定位上发生了显著变化,主要目标用户集中在巴西。这是已知首例专门针对南美用户的恶意软件攻击。
传播手段严重依赖欺骗。攻击者利用虚假网站冒充里约热内卢州彩票机构旗下的里约大奖(Rio de Prêmios)网站,并配合虚假的谷歌应用商店页面,推广一款所谓的银行卡保护应用。这些渠道旨在诱骗用户下载被篡改的 HandyPay 版本。
感染链:受害者如何被操纵
攻击过程依赖于精心策划的社会工程和用户互动:
一旦执行,攻击者就能使用窃取的凭证进行未经授权的 ATM 取款和支付交易。
隐蔽性和策略:为什么选择 HandyPay
该攻击活动据信始于2025年11月左右,表明攻击者已刻意更换了攻击工具。恶意版本的HandyPay从未通过官方的Google Play商店分发,这证实攻击者完全依赖于欺骗性的传播技术。
将 HandyPay 武器化的决定可能受到多种因素的影响。与其他支付解决方案(通常每月超过 400 美元)相比,HandyPay 的订阅费用较低,这使其成为攻击者的经济之选。此外,该应用程序无需特殊权限,只需设置为默认支付应用即可。这降低了攻击者的怀疑,并提高了安装成功的可能性。
针对其平台被滥用的情况,HandyPay已启动内部调查。
人工智能在恶意软件开发中的应用:日益令人担忧的问题
对该恶意软件的技术分析发现了一些异常元素,包括在调试信息和系统消息中出现表情符号。这种异常现象表明,大型语言模型可能参与了恶意代码的生成或修改。
尽管尚未最终证实人工智能是造成此次攻击的直接原因,但这些发现与更广泛的行业趋势相符,即网络犯罪分子越来越多地利用生成式人工智能来简化恶意软件的开发。这降低了准入门槛,使得技术水平有限的人员也能制造出复杂的威胁。
威胁形势日益严峻:NFC欺诈呈上升趋势
这种新型NGate变种的出现凸显了基于NFC的金融诈骗日益猖獗的趋势。攻击者不再依赖NFCGate或恶意软件即服务平台等现有工具,而是转而利用内置NFC功能的合法应用程序。
这种方法既提高了运营效率,又增强了规避能力,这标志着移动威胁策略出现了令人担忧的演变,并强调了提高移动支付安全警惕性的必要性。
