NFCベースの決済詐欺は地理的および運用的に拡大している。2025年11月以来活動しているキャンペーンは、NGateマルウェアファミリーの新しいバリアントを使用してブラジルのAndroidユーザーをターゲットにしており、今回は2021年以来Google Playで利用可能な正当なNFCリレーアプリケーション「HandyPay」のトロイの木馬化されたバージョンに組み込まれている。
ESET Researchがこのキャンペーンを特定し、2つの独立したNGateサンプルを同じ脅威アクターに帰属させた。両サンプルは同じドメインから配布され、同じ改変されたHandyPayアプリケーションを使用しており、調整された運用を示唆している。
コストがHandyPayの選択を促した
このキャンペーンの運営者は、NFC リレー機能を処理するために既存のマルウェア・アズ・ア・サービス提供を使用許諾することができた。トロイの木馬化された NFC 支払いアプリで新しい NGate バリアントを発見した ESET 研究者のLukáš Štefankoは、ロジックを直接説明した。
「このキャンペーンの運営者がなぜ NFCデータ中継の確立されたソリューションに頼るのではなく、HandyPayアプリをトロイの木馬化することにしたのですか?答えは単純です。お金です。既存のMaaSキットのサブスクリプション料金は数百ドルです。NFU Payはほぼ月400ドルで製品を宣伝しており、TX-NFCは月500ドル前後です。一方、正当なHandyPayアプリは大幅に安く、月額€9.99の寄付のみをお願いしています(それでもそうしていれば)。価格に加えて、HandyPayはネイティブにアクセス許可を必要としません。デフォルト支払いアプリに設定されるだけで、脅威行為者が疑いを起こさないようにするのに役立ちます。」
マルウェア内のAI生成コード?
HandyPayに注入された悪意のあるコードはログ文字列に絵文字を含んでおり、大規模言語モデルからの出力と一致するパターンです。ESETは、マルウェアがGenAIアシスタンスで生成された可能性が高いと評価した。AI関与の決定的な証拠は依然として研究者によって把握しがたいですが、このパターンはサイバー犯罪者がLLMを使用して深いプログラミング知識なしで動作する悪意のあるコードを生成するという文書化された傾向に適合しています。
2つの配布ベクトル
このキャンペーンは2つの配信方法を使用しています。1つ目は、リオデジャネイロ州ロト組織が運営するロト「Rio de Prêmios」になりすまします偽ウェブサイトです。訪問者はスクラッチカードゲームにエンカウントし、常にR$20,000の勝利をもたらす仕組まれた結果があります。景品を獲得するために、ユーザーは攻撃者制御の番号に向けた事前に入力されたメッセージでWhatsAppを開くボタンをタップします。関連するWhatsAppアカウントはブラジルの国営銀行「Caixa Econômica Federal」になりすましプロフィール画像を使用しており、ほとんどの国家ロトの管理を担当しています。その後、被害者はトロイの木馬化されたHandyPay APKをダウンロードするよう指示されます。これはRio de Prêmiosアプリになりすまします。
スクラッチシンボルは常にR$20,000を獲得し(左)、被害者は「今すぐ景品を引き換える」というボタンでWhatsAppを起動するよう招待されています。景品を獲得する(右)。出典:ESET
2番目のベクトルは、「Proteção Cartão」(カード保護に訳される)という名前でマルウェアを配布する偽のGoogle Playウェブページです。被害者はAndroidのサイドロード警告をバイパスした後、APKを手動でダウンロードしてインストールする必要があります。
マルウェアが行うこと
インストール後、アプリは正当なHandyPayアプリケーションに存在する機能であるデフォルトNFC支払いアプリとして設定されることを要求します。その後、アプリは被害者に支払いカードのPINを入力し、NFCが有効なデバイスにカードをタップするよう促します。マルウェアはNFCカードデータを攻撃者制御のデバイスに中継し、被害者のカード認証情報を使用して非接触トランザクションとATM引き出しを実行できます。
被害者のPINはHTTPを介して独立した専用コマンド・アンド・コントロール・サーバーに別途流出し、HandyPayのインフラストラクチャから独立しています。同じC&C サーバーはAPKファイルの配布エンドポイントとしても機能し、配信とデータ収集を単一のサーバーに集約しています。
ESETは攻撃者のC&Cサーバー上から4つの侵害されたデバイスのログを発見し、すべてブラジルに地理的に配置され、キャプチャされたPIN、IPアドレス、タイムスタンプを含みます。
保護と開示
トロイの木馬化されたHandyPayアプリケーションは公式のGoogle Playストアに表示されたことはありません。ESETはApp Defense Allianceを通じてGoogleに通知し、HandyPay開発者に直接連絡しました。開発者は内部調査が進行中であることを確認しました。
翻訳元: https://www.helpnetsecurity.com/2026/04/21/android-ngate-nfc-malware/
