Киберпреступники используют зараженное вредоносным ПО приложение для оплаты на Android для кражи данных ближней бесконтактной связи (NFC) и PIN-кодов, что позволяет клонировать платежные карты и опустошать счета жертв.
По данным исследователей ESET, новый вариант вредоносного ПО NGate был внедрен в приложение HandyPay NFC-relay для передачи данных NFC на устройство злоумышленника и их использования для бесконтактного снятия наличных в банкоматах.
Подозревается использование ИИ в этой кампании. «Для заражения HandyPay злоумышленники, скорее всего, использовали генеративный ИИ, на что указывают эмодзи, оставленные в логах, которые типичны для текста, сгенерированного ИИ», — заявили исследователи в посте в блоге.
Кампания распространяет два образца вредоносного ПО через поддельный сайт лотереи и поддельный сайт Google Play, атакуя пользователей Android в Бразилии с ноября 2025 года.
Легитимное приложение выполняет грязную работу
Исследователи ESET отметили, что в рамках этой кампании операторы NGate переходят от использования собственного инструментария к заражению легитимного приложения. HandyPay, изначально разработанное для ретрансляции данных NFC между устройствами, используется для того, чтобы требовать минимальные разрешения и вписываться в ожидаемые рабочие процессы оплаты.
Такой подход позволяет избежать создания собственного инструментария с нуля, как это наблюдалось ранее при злоупотреблении NFCGate, и вместо этого добавлять вредоносный код в существующее приложение с поддержкой NFC. Перепрофилируя приложение для ретрансляции NFC, злоумышленники наследуют функциональность, которая уже обрабатывает основной обмен данными, отметили исследователи.
Приложение для ретрансляции NFC — это инструмент, который захватывает бесконтактное взаимодействие с карты или устройства и в режиме реального времени перенаправляет его на другое устройство, расширяя сигнал Near Field Communication по сети для удаленного использования.
Поскольку приложение работает в рамках ожидаемых рабочих процессов NFC, злоумышленникам легче замаскировать атаку.
Каналы распространения включают поддельный сайт лотереи, имитирующий бразильскую «Rio de Premios», и поддельную страницу Google Play, рекламирующую инструмент «защиты карт».
Вероятно, использовался ИИ
Исследователи ESET также обнаружили нечто необычное во внутреннем устройстве вредоносного ПО. Некоторые следы указывали на то, что в его разработке мог участвовать генеративный ИИ.
В частности, внедренный вредоносный код содержит маркеры эмодзи в отладочных логах, что чаще ассоциируется с выводом, сгенерированным ИИ, чем с вредоносным ПО, написанным человеком. Исследователи отметили, что это не является окончательным доказательством, но соответствует общей тенденции использования злоумышленниками больших языковых моделей для ускорения создания вредоносного ПО.
В настоящее время Android имеет некоторую защиту от этого вектора атаки в виде предупреждений безопасности. «Жертве необходимо вручную установить зараженную версию HandyPay, поскольку приложение доступно только за пределами Google Play», — заявили исследователи. «Когда пользователь нажимает кнопку загрузки приложения в своем браузере, Android автоматически блокирует установку и выводит запрос с просьбой разрешить установку из этого источника».
Чтобы атака увенчалась успехом, пользователю затем необходимо нажать «Настройки» во всплывающем окне, включить «Разрешить из этого источника» и вернуться к установке приложения — процесс, довольно распространенный при установке сторонних приложений в наши дни. В рабочем процессе «разрешить загрузку» нет ничего особенно подозрительного, что могло бы защитить от этой угрозы.
ESET поделилась списком индикаторов в специальном репозитории на GitHub, который включал файлы, хеши, сетевые индикаторы и карты MITRE ATT&CK для поддержки усилий по обнаружению.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
