NGate惡意活動
網路安全分析師發現了一種名為NGate的安卓惡意軟體家族的新變種,該變種不再依賴NFCGate,而是利用名為HandyPay的合法應用程式進行攻擊。這一演變凸顯了攻擊者策略的轉變,即利用可信賴工具來增強惡意行動的效率和隱藏性。
攻擊者篡改了 HandyPay 應用程式(該應用程式原本用於傳輸 NFC 資料),注入了惡意程式碼。種種跡象表明,部分惡意程式碼可能是利用人工智慧產生的。
與先前的NGate變種類似,這款修改後的應用程式使攻擊者能夠攔截受害者支付卡上的NFC數據,並將其傳輸到攻擊者控制的設備上。隨後,這些被盜資料被用於非接觸式ATM提款和未經授權的交易。
除了資料攔截之外,該惡意軟體還能捕獲受害者的支付卡 PIN 碼並將其傳輸到遠端命令與控制 (C2) 伺服器,從而顯著增加財務損失的風險。
目錄
從 NFSkate 到 RatOn:惡意軟體不斷擴展的劇本
NGate(又稱NFSkate)於2024年8月首次公開亮相,當時研究人員記錄了其執行NFC中繼攻擊的能力,旨在竊取非接觸式支付資料用於詐欺活動。隨著時間的推移,其傳播機制和運作策略不斷演變。
到了2025年,一項名為RatOn的相關攻擊活動推出偽裝成成人版TikTok的投放器應用程式。這些欺騙性應用程式被用於部署NGate並執行NFC中繼攻擊,這表明社會工程技術日益複雜。
聚焦巴西:一場有針對性的運動正在興起
最新一輪NGate攻擊活動在地域定位上發生了顯著變化,主要目標用戶集中在巴西。這是已知首例專門針對南美用戶的惡意軟體攻擊。
傳播手段嚴重依賴欺騙。攻擊者利用假網站冒充裡約熱內盧州彩券機構旗下的里約大獎(Rio de Prêmios)網站,並配合虛假的Google應用商店頁面,推廣一款所謂的銀行卡保護應用程式。這些管道旨在誘騙用戶下載被竄改的 HandyPay 版本。
感染鏈:受害者如何被操縱
攻擊過程依賴精心策劃的社會工程和使用者互動:
一旦執行,攻擊者就能使用竊取的憑證進行未經授權的 ATM 提款和支付交易。
隱蔽性和策略:為什麼選擇 HandyPay
該攻擊活動據信始於2025年11月左右,顯示攻擊者已刻意更換了攻擊工具。惡意版本的HandyPay從未透過官方的Google Play商店分發,這證實攻擊者完全依賴欺騙性的傳播技術。
將 HandyPay 武器化的決定可能受到多種因素的影響。與其他支付解決方案(通常每月超過 400 美元)相比,HandyPay 的訂閱費用較低,這使其成為攻擊者的經濟選擇。此外,該應用程式無需特殊權限,只需設定為預設支付應用程式即可。這降低了攻擊者的懷疑,並提高了安裝成功的可能性。
針對其平台被濫用的情況,HandyPay已啟動內部調查。
人工智慧在惡意軟體開發中的應用:日益令人擔憂的問題
對該惡意軟體的技術分析發現了一些異常元素,包括在偵錯資訊和系統訊息中出現表情符號。這種異常現象表明,大型語言模型可能參與了惡意程式碼的產生或修改。
儘管尚未最終證實人工智慧是造成此事件的罪魁禍首,但這些發現與更廣泛的行業趨勢相符,即網路犯罪分子越來越多地利用生成式人工智慧來簡化惡意軟體的開發。這降低了准入門檻,使得技術專長有限的人也能製造出複雜的威脅。
威脅情勢日益嚴峻:NFC詐欺呈上升趨勢
這種新型NGate變種的出現凸顯了基於NFC的金融詐騙日益猖獗的趨勢。攻擊者不再依賴NFCGate或惡意軟體即服務平台等現有工具,而是轉而利用內建NFC功能的合法應用程式。
這種方法既提高了營運效率,又增強了規避能力,這標誌著行動威脅策略出現了令人擔憂的演變,並強調了提高行動支付安全警覺性的必要性。
