Το Ερευνητικό Κέντρο της ESET εντόπισε νέα παραλλαγή της οικογένειας κακόβουλου λογισμικού NGate, η οποία, αντί του εργαλείου NFCGate που χρησιμοποιούσε προηγουμένως, εκμεταλλεύεται μια νόμιμη εφαρμογή Android με την ονομασία HandyPay. Οι επιτιθέμενοι τροποποίησαν την εφαρμογή μεταφοράς δεδομένων NFC, ενσωματώνοντας κακόβουλο κώδικα που φαίνεται να έχει παραχθεί με τη χρήση τεχνητής νοημοσύνης.
Όπως και σε προηγούμενες εκδόσεις του NGate, το κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να μεταφέρουν δεδομένα NFC από την κάρτα πληρωμής του θύματος στη δική τους συσκευή και να τα αξιοποιούν για ανέπαφες αναλήψεις μετρητών από ΑΤΜ, καθώς και για μη εξουσιοδοτημένες πληρωμές. Επιπλέον, μπορεί να καταγράφει τους κωδικούς PIN των καρτών πληρωμής των θυμάτων και να τους αποστέλλει στον διακομιστή εντολών και ελέγχου (C&C) των δραστών. Οι κύριοι στόχοι του συγκεκριμένου κακόβουλου λογισμικού εντοπίζονται στη Βραζιλία. Ωστόσο, οι επιθέσεις που βασίζονται σε NFC φαίνεται να επεκτείνονται και σε άλλες περιοχές.
Ο κακόβουλος κώδικας που χρησιμοποιήθηκε για την εγκατάσταση του trojan στο HandyPay παρουσιάζει ενδείξεις ότι δημιουργήθηκε με τη βοήθεια εργαλείων GenAI. Συγκεκριμένα, τα αρχεία καταγραφής περιέχουν ένα emoji που θεωρείται χαρακτηριστικό κειμένου παραγόμενου από τεχνητή νοημοσύνη, γεγονός που υποδηλώνει πιθανή εμπλοκή μεγάλων γλωσσικών μοντέλων (LLM) στη δημιουργία ή τροποποίησή του, αν και δεν υπάρχουν ακόμη οριστικές αποδείξεις.
Η εξέλιξη αυτή εντάσσεται σε μια ευρύτερη τάση, σύμφωνα με την οποία η GenAI διευκολύνει κυβερνοεγκληματίες, επιτρέποντας ακόμη και σε άτομα με περιορισμένες τεχνικές δεξιότητες να αναπτύσσουν λειτουργικό κακόβουλο λογισμικό.
Το Κέντρο Ερευνών της ESET εκτιμά ότι η εκστρατεία διάδοσης του HandyPay με το κακόβουλο λογισμικό ξεκίνησε το Νοέμβριο του 2025 και παραμένει ενεργή μέχρι σήμερα. Αξίζει επίσης να σημειωθεί ότι η έκδοση του HandyPay με το κακόβουλο λογισμικό δεν ήταν ποτέ διαθέσιμη στο επίσημο Google Play Store. Ως συνεργάτης της App Defense Alliance, η ESET κοινοποίησε τα ευρήματά της στην Google. Παράλληλα, η ESET επικοινώνησε με τους προγραμματιστές του HandyPay, προκειμένου να τους ενημερώσει για την κακόβουλη χρήση της εφαρμογής τους.
Καθώς ο αριθμός των απειλών που σχετίζονται με το NFC συνεχίζει να αυξάνεται, το οικοσύστημα που τις υποστηρίζει γίνεται ολοένα και πιο ισχυρό. Οι πρώτες επιθέσεις NGate χρησιμοποίησαν το εργαλείο ανοιχτού κώδικα NFCGate για να διευκολύνουν τη μεταφορά δεδομένων μέσω NFC. Έκτοτε, έχουν εμφανιστεί στην αγορά αρκετές λύσεις malware-as-a-service (MaaS) με παρόμοια λειτουργικότητα. Ωστόσο, στη συγκεκριμένη εκστρατεία οι δράστες επέλεξαν να αναπτύξουν τη δική τους προσέγγιση, τροποποιώντας μια ήδη υπάρχουσα εφαρμογή – το HandyPay.
«Γιατί οι υπεύθυνοι αυτής της εκστρατείας αποφάσισαν να ‘τροποποιήσουν’ την εφαρμογή HandyPay, αντί να επιλέξουν μια καθιερωμένη λύση για τη μεταφορά δεδομένων NFC; Η απάντηση είναι απλή: τα χρήματα. Τα τέλη συνδρομής για τα υπάρχοντα πακέτα MaaS ανέρχονται σε εκατοντάδες δολάρια. Η NFU Pay διαφημίζει το προϊόν της για σχεδόν 400 δολάρια ΗΠΑ τον μήνα, ενώ η TX-NFC κοστίζει περίπου 500 δολάρια ΗΠΑ τον μήνα. Από την άλλη, η νόμιμη εφαρμογή HandyPay είναι σημαντικά φθηνότερη, ζητώντας μόνο μια δωρεά 9,99 ευρώ τον μήνα. Επιπλέον, η HandyPay δεν απαιτεί εγγενώς καμία ειδική άδεια, παρά μόνο να οριστεί ως η προεπιλεγμένη εφαρμογή πληρωμών, γεγονός που βοηθά τους δράστες να αποφύγουν να κινήσουν υποψίες», λέει ο ερευνητής της ESET, Lukáš Štefanko, ο οποίος εντόπισε τη νέα παραλλαγή του NGate σε τροποποιημένη εφαρμογή πληρωμών NFC που περιείχε trojan.
Η πρώτη νέα παραλλαγή του NGate διανέμεται μέσω ιστότοπου που υποδύεται το Rio de Prêmios, ένα πρόγραμμα δημοσίων κληρώσεων (λοταρία) που διοργανώνεται από τον κρατικό οργανισμό λαχείων του Ρίο ντε Τζανέιρο (Loterj). Το δεύτερο δείγμα διανέμεται μέσω μιας ψεύτικης ιστοσελίδας που μιμείται το Google Play, ως εφαρμογή με το όνομα Proteção Cartão (αυτόματη μετάφραση: «Προστασία Κάρτας»). Και οι δύο ιστότοποι φιλοξενούνταν στον ίδιο τομέα (domain), γεγονός που υποδηλώνει έντονα ότι πίσω από την επίθεση βρίσκεται ένας και μόνο παράγοντας απειλής.
Το κακόβουλο λογισμικό εκμεταλλεύεται την υπηρεσία HandyPay για να προωθεί δεδομένα καρτών NFC σε συσκευή που ελέγχεται από τον εισβολέα. Εκτός από τη μεταφορά δεδομένων NFC, ο κακόβουλος κώδικας υποκλέπτει επίσης τους κωδικούς PIN των καρτών πληρωμών, επιτρέποντας στον δράστη να χρησιμοποιεί τα στοιχεία της κάρτας του θύματος για αναλήψεις μετρητών από ΑΤΜ.
Για μια πιο λεπτομερή ανάλυση της νέας παραλλαγής του NGate, διαβάστε την τελευταία ανάρτηση στο blog του Κέντρου Ερευνών της ESET με τίτλο «Νέα παραλλαγή του NGate κρύβεται σε μια εφαρμογή πληρωμών NFC που έχει μολυνθεί από trojan», στο WeLiveSecurity.com. Μπορείτε να ακολουθήσετε το Κέντρο Ερευνών της ESET στο Twitter (γνωστό σήμερα ως X), στο Bluesky και στο Mastodon για τις τελευταίες ειδήσεις.
