Νέα παραλλαγή του NGate malware κλέβει δεδομένα κάρτας μέσω NFC και PIN από Android, χωρίς ποτέ να αγγίξουν φυσικά την κάρτα σου.
Νέα έκδοση του κακόβουλου λογισμικού NGate εντοπίστηκε από το Ερευνητικό Κέντρο της ESET, αυτή τη φορά μεταμφιεσμένη μέσα στη νόμιμη εφαρμογή πληρωμών HandyPay για Android. Σύμφωνα τους ερευνητές της ESET ο κακόβουλος κώδικας πιθανότατα παρήχθη με τη βοήθεια εργαλείων τεχνητής νοημοσύνης. Η εκστρατεία διάδοσης φαίνεται να ξεκίνησε τον Νοέμβριο του 2025 και παραμένει ενεργή.
Πώς λειτουργεί η νέα παραλλαγή του NGate
Ο τροποποιημένος κώδικας μέσα στο HandyPay επιτρέπει στους επιτιθέμενους να αναμεταδίδουν δεδομένα NFC από την κάρτα πληρωμής του θύματος στη συσκευή τους. Με τον τρόπο αυτό, οι δράστες μπορούν να πραγματοποιούν ανέπαφες αναλήψεις μετρητών από ΑΤΜ και μη εξουσιοδοτημένες πληρωμές σε καταστήματα. Παράλληλα, το malware καταγράφει τους κωδικούς PIN των καρτών και τους στέλνει σε διακομιστή εντολών και ελέγχου (C&C) που ελέγχουν οι δράστες.
Στα αρχεία καταγραφής εντοπίστηκε emoji που θεωρείται χαρακτηριστικό κειμένου παραγόμενου από LLM, ένδειξη ότι η ανάπτυξη του κώδικα ενδέχεται να βασίστηκε σε generative AI εργαλεία. Δεν υπάρχει ωστόσο οριστική απόδειξη.
Πώς διαδίδεται το trojanized HandyPay
Η μολυσμένη έκδοση του HandyPay δεν διανεμήθηκε ποτέ μέσω του επίσημου Google Play Store.
Οι δύο δίαυλοι διανομής που εντόπισε η ESET είναι:
- Ψεύτικος ιστότοπος που μιμείται το Rio de Prêmios, την κρατική λοταρία του Ρίο ντε Τζανέιρο
- Ψεύτικη σελίδα που υποδύεται το Google Play, παρουσιάζοντας μια εφαρμογή με το όνομα Proteção Cartão («Προστασία Κάρτας»)
Και τα δύο sites φιλοξενούνταν στο ίδιο domain, στοιχείο που υποδηλώνει έναν ενιαίο παράγοντα απειλής. Οι κύριοι στόχοι εντοπίζονται στη Βραζιλία, αλλά οι NFC επιθέσεις παρουσιάζουν τάση επέκτασης σε άλλες περιοχές.
Γιατί επιλέχθηκε το HandyPay αντί για MaaS εργαλεία
Σύμφωνα με τον ερευνητή της ESET Lukáš Štefanko, η επιλογή είναι καθαρά οικονομική. Λύσεις malware-as-a-service όπως η NFU Pay κοστίζουν περίπου 400 δολάρια τον μήνα και η TX-NFC γύρω στα 500 δολάρια, ενώ η νόμιμη συνδρομή του HandyPay κοστίζει μόλις 9,99 ευρώ τον μήνα. Επιπλέον, το HandyPay δεν απαιτεί ειδικές άδειες πέρα από το να οριστεί ως προεπιλεγμένη εφαρμογή πληρωμών — γεγονός που βοηθά τους δράστες να περάσουν απαρατήρητοι.
Η ESET, ως συνεργάτης της App Defense Alliance, ενημέρωσε ήδη την Google αλλά και τους δημιουργούς του HandyPay για την κακόβουλη χρήση της εφαρμογής τους.
Η άποψή μας στο Techblog
Η ιστορία του τροποποιημένου HandyPay δείχνει ξεκάθαρα ότι το οικοσύστημα του NFC malware ωριμάζει, ενώ το γεγονός ότι ακόμα και οι ίδιες οι κακόβουλες εκστρατείες αρχίζουν να αξιοποιούν AI εργαλεία για να μειώσουν το τεχνικό κατώφλι εισόδου, θα έπρεπε να μας προβληματίζει. Ο μέσος κάτοχος Android θα πρέπει να αποφεύγει αυστηρά εγκαταστάσεις APK εκτός Google Play και να μην εμπιστεύεται διαφημιστικά links από SMS ή κοινωνικά δίκτυα — ειδικά όταν αφορούν λοταρίες ή «προστασία κάρτας».
