Кампания, нацеленная на пользователей Android в Бразилии в ноябре 2025 года, до сих пор активна и растет тревожными темпами. Исследователи ESET обнаружили новый вариант семейства вредоносного ПО NGate, который использует троянизированную версию приложения HandyPay для кражи данных NFC-платежей пользователей Android. Исследование предполагает, что исходный код вредоносного ПО был написан с использованием GenAI.
Злоумышленники в основном нацелены на пользователей Android в Бразилии. Это было установлено при анализе C&C-сервера атакующих. Распространение осуществляется через троянизированное приложение, которое широко циркулирует через поддельный веб-сайт, имитирующий бразильскую лотерею “Rio de Prêmios”, а также через фальшивую страницу Google Play. При обращении по этому поводу в HandyPay подтвердили, что с их стороны проводится внутреннее расследование.
Массовое использование GenAI применяется для разработки вредоносного ПО. Как видно из приведенного выше фрагмента кода, журналы вредоносного ПО содержат эмодзи, которые обычно встречаются в текстах, сгенерированных ИИ. Это наводит на мысль об использовании LLM для модификации или генерации кода, хотя убедительных доказательств нет.
Атака начинается со страницы лотереи, где жертва нажимает на «Кнопку получения приза» и устанавливает троянизированный APK HandyPay. После установки APK ведет себя как оригинальное приложение, что затрудняет пользователю обнаружение чего-либо необычного. Затем пользователю предлагается ввести PIN-код карты в приложение и поднести карту к задней панели смартфона с включенным NFC. В фоновом режиме вредоносное ПО собирает платежную информацию и данные карты жертвы и передает их хакеру. После этого злоумышленник может использовать эти переданные данные для совершения бесконтактных транзакций, а также для снятия наличных в банкомате.
Комментируя ситуацию, ESET заявила: «Устройство оператора связано с адресом электронной почты, жестко закодированным внутри вредоносного приложения, что гарантирует, что весь перехваченный NFC-трафик направляется исключительно атакующему. Мы наблюдали использование двух разных адресов электронной почты атакующих в проанализированных образцах. Помимо стандартного набора данных, передаваемого при NFC-ретрансляции, PIN-код платежной карты жертвы эксфильтрируется отдельно на выделенный C&C-сервер через HTTP, не полагаясь на инфраструктуру HandyPay. Конечная точка C&C для сбора PIN-кодов также функционирует как сервер распространения, централизуя операции как по доставке, так и по сбору данных».
На фоне растущего использования NFC-платежей эксперты предупреждают о необходимости остерегаться подобных атак и устанавливать приложения только из официальных источников. Использование генеративного ИИ также порождает мысль о том, что человек без технических знаний способен взломать платежные системы.
Изображение предоставлено Depositphotos
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sanket Mungase
