サイバーセキュリティ研究者は、NGateマルウェアファミリーの新しい亜種を特定しました。これは、HandyPayという正規のAndroidアプリケーションを利用して、非接触ATM引き出しを行うものです。
オープンソースのNFCGateツールに依存していた以前のバージョンとは異なり、この新しいキャンペーンは、人工知能によって生成されているように見えるHandyPayアプリに悪意のあるコードを注入します。
この改ざんされたアプリケーションにより、脅威行為者は被害者の決済カードPINを静かにキャプチャし、近距離通信データを直接自分のデバイスにリレーして、元のカードをエミュレートできます。
このキャンペーンは2025年11月から活動しており、主にAndroidユーザーを標的としていますが、Google Play Protectが有効な場合、既知の亜種から保護されます。
このキャンペーンの運用フローは、社会工学とGoogle公式ストア以外からのアプリケーション手動インストールに大きく依存しています。
攻撃者は、トロイの木馬化されたHandyPayアプリを、ブラジルのユーザーを標的とする2つの主要な配布経路を通じて配布しています。
最初の方法は、リオ・デ・プレミオス州宝くじになりすまし詐欺的なウェブサイトを含み、常に当選結果になる改ざんされたスクラッチカードゲームを特徴とします。
ユーザーが賞金を請求しようとすると、政府所有の銀行になりすましている事前定義されたWhatsApp連絡先にリダイレクトされ、その後マルウェアのダウンロードが促進されます。
第2の配布経路は、Proteção Cartãoという名前のセキュリティアプリケーションを提供する偽のGoogle Play Webページを使用しています。
被害者がダウンロードを開始すると、Androidは自動的にインストールをブロックし、ユーザーがシステム設定に移動して不明な発信元からのインストールを手動で許可する必要があります。
アプリケーションがインストールされた後、デバイスのデフォルト決済アプリとして設定するよう促します。正規のHandyPayアプリケーションのこのネイティブ機能は追加の侵襲的なアクセス許可を必要としないため、マルウェアは検出されないまま残ります。
その後、被害者は決済カードPINを入力し、物理的なカードをスマートフォンの背面に対してタップするよう求められます。
NFU PayやTX-NFCなどの近距離通信リレー機能を提供する既存のマルウェアアズアサービスキットは、攻撃者に月間数百ドルの費用がかかります。
対照的に、正規のHandyPayアプリケーションは、そのエミュレーション機能のための小さな月額寄付のみを要求し、サイバー犯罪者に従来のソリューションの費用のほんの一部で高度に洗練されたツールセットを提供します。
攻撃者のコマンドアンドコントロールインフラストラクチャを分析する調査官は、ブラジルで地理的に位置する複数の侵害されたデバイスからのログを発見し、キャプチャされたPINコード、IPアドレス、正確な攻撃タイムスタンプが含まれていました。
翻訳元: https://cyberpress.org/ai-ngate-targets-payments/