正規なNFCペイメント中継アプリであるHandyPayの改ざんされたバージョン内に隠れている新しいNGateマルウェアの亜種で、カードデータとPINを盗んでATM出金と不正決済を行うもの。
注入されたコードは生成AIで製作されたことを示す明確な兆候を示しており、スキルの低いアクターがNFCペイメントアプリを大規模に武器化できるようになった方法を浮き彫りにしています。
HandyPayは2021年以来Google Playで利用可能な正規アプリで、ユーザーがデバイス間でNFCカードデータを中継でき、リンクされた電話がカードホルダーの代わりにタップして支払いトランザクションを実行できます。
脅威アクターはクリーンなHandyPay APKを入手し、悪意のあるロジックを注入し、改ざんされたビルドをGoogle Playの外で配布し、公式ストアを通じては配布しませんでした。
インストール後、トロイの木馬化されたアプリは元のアプリとほぼ同じように動作します。デフォルトのNFCペイメントアプリとして設定するよう求め、ユーザーをデバイスの背面でカードをタップするプロセスにガイドします。
ESET Researchは、HandyPayという正規のAndroidアプリケーションを悪用するNGateマルウェアファミリーの新しい亜種を発見しました。
しかし、内部ではNGateがNFCペイロードをインターセプトし、被害者のカードを模擬して非接触決済とATM出金ができる攻撃者制御のAndroidデバイスに透過的に中継します。
多くのバンキング型トロイの木馬と異なり、このアプリはHandyPayが正当に必要とするもの以外のほぼ追加権限を要求せず、無害に見えてユーザーの疑いを回避するのに役立ちます。
攻撃者デバイスはハードコードされたメールアドレスを介して事前にリンクされており、すべての中継されたNFCトラフィックがオペレーターのインフラストラクチャにのみルーティングされることを保証します。
AI生成マルウェアコード
ESETのパッチされたHandyPayパッケージの分析では、絵文字を含むログ文字列を発見しました。これは大規模言語モデルとGenAIアシスタントによって生成されたコードまたはコメントと強く関連するパターンです。
一方、HandyPayははるかに安価で、月額€9.99の寄付のみを要求しており、それさえもの場合があります。価格に加えて、HandyPayは本来的に権限を必要としません。
これらのアーティファクトは、正確なツールチェーンの確定的な証拠がないにもかかわらず、脅威アクターがGenAIを使用してマルウェアコードの一部を生成または再構成した可能性があることを示唆しています。
これは、サイバー犯罪者がGenAIを使用してエントリーバリアを低下させ、深いプログラミング専門知識なしで実行可能なAndroidマルウェアを迅速に作成する、より広いトレンドと一致しています。
この場合、AIはPINデータをパッケージ化してHTTP経由でコマンドアンドコントロール(C&C)サーバーに送信する流出ロジックの構築を支援したようです。
現在のNGateキャンペーンは2025年11月頃から活動しており、ブラジルのAndroidユーザーに焦点を当てています。
ESETは攻撃者のC&Cサーバーで複数の侵害されたデバイスからのログを発見し、すべてブラジルに地理的に位置し、キャプチャされたPIN、IPアドレス、タイムスタンプを含んでいます。
調査員は2つの主要な配布ベクトルを見つけました。どちらも同じドメインでホストされており、おそらく単一の脅威グループによって運用されています。
- ユーザーが常にR$20,000に「勝利」するようにスクラッチカードゲームを不正操作する偽のRio de Prêmios宝くじサイト。その後、WhatsAppにプッシュし賞品を「請求」し、最終的に改ざんされたHandyPay APKを配信します。
- 「Proteção Cartão」(カード保護)と呼ばれるアプリを宣伝する偽装されたGoogle Playウェブページ。ユーザーを同じパッチされたHandyPayビルドのサイドローディングにだまします。
これはNGateまたはそのPhantomCard亜種がブラジルをターゲットにするのは初めてではありませんが、NFCGateなどのツールやNFU PayまたはTX-NFCなどのMaaSキットを使用することから、より安価な正規中継アプリを悪用することへの進化を示しています。
データ盗難とATM現金引き出しフロー
被害者が不明なソースからのインストールを有効にし、悪意のあるAPKをサイドロードした後、アプリは支払いカードのPINを入力してインターフェース内でNFCタップを実行するよう促します。その時点で、NGateは:
- NFC取引データ全体をキャプチャし、対面でのタップして支払いやATM出金のためにカードを模擬できるオペレーターデバイスに送信します。
- PINを別々にHTTP経由の専用C&Cエンドポイントに流出させます。これはマルウェア配布サーバーとしても機能します。
信頼性を高めるため、関連するWhatsAppアカウントはブラジルの政府系銀行であるCaixa Econômica Federalになりすましたプロフィール画像を使用しています。この銀行は国内の大多数のくじを管理しています。
ライブNFCデータと正しいPINの両方があれば、攻撃者はNFC対応ATMから迅速に現金を引き出すか、物理的なカードに触れることなく高額な非接触購入を実行できます。
AndroidユーザーはGoogle Play Protectによって既知のNGate亜種から保護されたままですが、信頼できないリンクからのアプリのサイドローディングを避け、ペイメントアプリが公式Playストアからのものであることを確認する場合のみです。
IOC
| SHA-1 | ファイル名 | 検出 | 説明 |
| 48A0DE6A43FC6E49318AD6873EA63FE325200DBC | PROTECAO_CARTAO.apk | Android/Spy.NGate.CC | Android NGateマルウェア。 |
| A4F793539480677241EF312150E9C02E324C0AA2 | PROTECAO_CARTAO.apk | Android/Spy.NGate.CB | Android NGateマルウェア。 |
| 94AF94CA818697E1D99123F69965B11EAD9F010C | Rio_de_Prêmios_Pagamento.apk | Android/Spy.NGate.CB | Android NGateマルウェア。 |
