Σύνοψη
- Το Ερευνητικό Κέντρο της ESET εντόπισε μια νέα παραλλαγή του κακόβουλου λογισμικού NGate, η οποία εκμεταλλεύεται τη νόμιμη εφαρμογή Android HandyPay αντί του NFCGate.
- Οι επιτιθέμενοι ενσωμάτωσαν κακόβουλο κώδικα στο HandyPay, ο οποίος παρουσιάζει ενδείξεις ότι έχει παραχθεί με εργαλεία τεχνητής νοημοσύνης (GenAI).
- Το λογισμικό επιτρέπει τη μεταφορά δεδομένων NFC και την καταγραφή των PIN των καρτών, επιτρέποντας στους δράστες να προχωρούν σε ανέπαφες αναλήψεις μετρητών από ΑΤΜ.
- Αντί να πληρώσουν ακριβές συνδρομές για λύσεις Malware-as-a-Service (MaaS) που κοστίζουν έως και 500 δολάρια τον μήνα, οι κυβερνοεγκληματίες χρησιμοποιούν το HandyPay που απαιτεί δωρεά μόλις 9,99 ευρώ τον μήνα.
- Η διανομή της μολυσμένης εφαρμογής γίνεται μέσω ψεύτικων ιστότοπων που υποδύονται προγράμματα λοταρίας και το Google Play, με κύριους στόχους στη Βραζιλία.
Το οικοσύστημα των απειλών που στοχεύουν τις ανέπαφες συναλλαγές εξελίσσεται ταχύτατα, με τους κυβερνοεγκληματίες να υιοθετούν ολοένα και πιο αποδοτικές τεχνικά και οικονομικά μεθόδους. Το Ερευνητικό Κέντρο της ESET εντόπισε νέα παραλλαγή της οικογένειας κακόβουλου λογισμικού NGate, η οποία, αντί του εργαλείου NFCGate που χρησιμοποιούσε προηγουμένως, εκμεταλλεύεται μια νόμιμη εφαρμογή Android με την ονομασία HandyPay. Το συγκεκριμένο λογισμικό αποδεικνύει πώς ο συνδυασμός νόμιμων εφαρμογών και εργαλείων τεχνητής νοημοσύνης μπορεί να διευκολύνει την υποκλοπή οικονομικών δεδομένων.
Πώς λειτουργεί η υποκλοπή δεδομένων NFC μέσω του HandyPay
Η νέα παραλλαγή του NGate τροποποιεί τη νόμιμη εφαρμογή HandyPay για να μεταφέρει δεδομένα NFC από την κάρτα του θύματος στη συσκευή του επιτιθέμενου. Το κακόβουλο λογισμικό υποκλέπτει παράλληλα τους κωδικούς PIN, επιτρέποντας στον δράστη να πραγματοποιεί μη εξουσιοδοτημένες πληρωμές και ανέπαφες αναλήψεις μετρητών από ΑΤΜ, στέλνοντας τα δεδομένα σε διακομιστή εντολών και ελέγχου (C&C).
Κύρια χαρακτηριστικά της επίθεσης
- Αναδρομολόγηση Δεδομένων: Το κακόβουλο λογισμικό εκμεταλλεύεται την υπηρεσία HandyPay για να προωθεί δεδομένα καρτών NFC σε συσκευή που ελέγχεται από τον εισβολέα.
- Κλοπή PIN: Εκτός από τη μεταφορά δεδομένων NFC, ο κακόβουλος κώδικας υποκλέπτει επίσης τους κωδικούς PIN των καρτών πληρωμών.
- Παράκαμψη Αδειών: Η εφαρμογή HandyPay δεν απαιτεί εγγενώς καμία ειδική άδεια, παρά μόνο να οριστεί ως η προεπιλεγμένη εφαρμογή πληρωμών, γεγονός που βοηθά τους δράστες να αποφύγουν να κινήσουν υποψίες.
- Ανίχνευση Εκτός Store: Η έκδοση του HandyPay με το κακόβουλο λογισμικό δεν ήταν ποτέ διαθέσιμη στο επίσημο Google Play Store.
Ο ρόλος της Τεχνητής Νοημοσύνης στον κώδικα
Ένα από τα πλέον ανησυχητικά ευρήματα της έρευνας αφορά τη διαδικασία ανάπτυξης του κακόβουλου κώδικα. Οι επιτιθέμενοι τροποποίησαν την εφαρμογή μεταφοράς δεδομένων NFC, ενσωματώνοντας κακόβουλο κώδικα που φαίνεται να έχει παραχθεί με τη χρήση τεχνητής νοημοσύνης. Συγκεκριμένα, ο κακόβουλος κώδικας που χρησιμοποιήθηκε για την εγκατάσταση του trojan στο HandyPay παρουσιάζει ενδείξεις ότι δημιουργήθηκε με τη βοήθεια εργαλείων GenAI.
Τα αρχεία καταγραφής περιέχουν ένα emoji που θεωρείται χαρακτηριστικό κειμένου παραγόμενου από τεχνητή νοημοσύνη, γεγονός που υποδηλώνει πιθανή εμπλοκή μεγάλων γλωσσικών μοντέλων (LLM) στη δημιουργία ή τροποποίησή του, αν και δεν υπάρχουν ακόμη οριστικές αποδείξεις. Η εξέλιξη αυτή εντάσσεται σε μια ευρύτερη τάση, σύμφωνα με την οποία η GenAI διευκολύνει κυβερνοεγκληματίες, επιτρέποντας ακόμη και σε άτομα με περιορισμένες τεχνικές δεξιότητες να αναπτύσσουν λειτουργικό κακόβουλο λογισμικό.
Οικονομικά κίνητρα: HandyPay έναντι λύσεων MaaS
Ιδιαίτερο ενδιαφέρον παρουσιάζει η επιλογή των κυβερνοεγκληματιών να στραφούν στη συγκεκριμένη μέθοδο. Οι πρώτες επιθέσεις NGate χρησιμοποίησαν το εργαλείο ανοιχτού κώδικα NFCGate για να διευκολύνουν τη μεταφορά δεδομένων μέσω NFC. Έκτοτε, έχουν εμφανιστεί στην αγορά αρκετές λύσεις malware-as-a-service (MaaS) με παρόμοια λειτουργικότητα.
Ο ερευνητής της ESET, Lukáš Štefanko, επισημαίνει ότι τα τέλη συνδρομής για τα υπάρχοντα πακέτα MaaS ανέρχονται σε εκατοντάδες δολάρια. Ενδεικτικά, η NFU Pay διαφημίζει το προϊόν της για σχεδόν 400 δολάρια ΗΠΑ τον μήνα, ενώ η TX-NFC κοστίζει περίπου 500 δολάρια ΗΠΑ τον μήνα. Από την άλλη, η νόμιμη εφαρμογή HandyPay είναι σημαντικά φθηνότερη, ζητώντας μόνο μια δωρεά 9,99 ευρώ τον μήνα. Αυτό εξηγεί γιατί στη συγκεκριμένη εκστρατεία οι δράστες επέλεξαν να αναπτύξουν τη δική τους προσέγγιση, τροποποιώντας μια ήδη υπάρχουσα εφαρμογή.
Μέθοδοι διανομής και γεωγραφική στόχευση
Η εκστρατεία διάδοσης του HandyPay με το κακόβουλο λογισμικό ξεκίνησε το Νοέμβριο του 2025 και παραμένει ενεργή μέχρι σήμερα. Η διανομή βασίζεται σε τεχνικές κοινωνικής μηχανικής. Η πρώτη νέα παραλλαγή του NGate διανέμεται μέσω ιστότοπου που υποδύεται το Rio de Prêmios, ένα πρόγραμμα δημοσίων κληρώσεων (λοταρία) που διοργανώνεται από τον κρατικό οργανισμό λαχείων του Ρίο ντε Τζανέιρο (Loterj).
Το δεύτερο δείγμα διανέμεται μέσω μιας ψεύτικης ιστοσελίδας που μιμείται το Google Play, ως εφαρμογή με το όνομα Proteção Cartão (Αυτόματη μετάφραση: "Προστασία Κάρτας"). Και οι δύο ιστότοποι φιλοξενούνταν στον ίδιο τομέα (domain), γεγονός που υποδηλώνει έντονα ότι πίσω από την επίθεση βρίσκεται ένας και μόνο παράγοντας απειλής. Παρότι οι κύριοι στόχοι του συγκεκριμένου κακόβουλου λογισμικού εντοπίζονται στη Βραζιλία , οι επιθέσεις που βασίζονται σε NFC φαίνεται να επεκτείνονται και σε άλλες περιοχές.
Με τη ματιά του Techgear
Η συγκεκριμένη έρευνα της ESET φέρνει στο προσκήνιο έναν άμεσο κίνδυνο για το ελληνικό κοινό, όπου οι ανέπαφες συναλλαγές (είτε μέσω καρτών είτε μέσω ψηφιακών πορτοφολιών όπως το Google Wallet και το Apple Pay) αποτελούν πλέον τον κανόνα στην καθημερινότητα. Παρότι η τρέχουσα εκστρατεία στοχεύει γεωγραφικά κυρίως τη Λατινική Αμερική, ο αυτοματοποιημένος τρόπος δημιουργίας του κώδικα (μέσω GenAI) και το εξαιρετικά χαμηλό κόστος ανάπτυξης (μόλις 9,99€ για τη δωρεά της νόμιμης εφαρμογής), σημαίνει ότι παρόμοιες επιθέσεις μπορούν να μεταφερθούν άμεσα και στην Ευρώπη.
Το κρίσιμο σημείο για τους Έλληνες χρήστες Android είναι η προέλευση των εφαρμογών. Το μολυσμένο HandyPay και οι παραλλαγές του κυκλοφορούν αποκλειστικά εκτός του επίσημου Google Play Store. Η εγκατάσταση αρχείων APK από άγνωστες πηγές, ειδικά όταν αυτές οι εφαρμογές ζητούν να οριστούν ως προεπιλεγμένες για τις πληρωμές NFC, ισοδυναμεί με την παράδοση του φυσικού μας πορτοφολιού στον οποιονδήποτε.
