新しいNGateマルウェアファミリーの亜種が特定されました。このマルウェアは、トロイの木馬化されたAndroidアプリケーションを使用して支払いカードデータとPINを取得しています。
4月21日にESETが発表した調査によると、新しいキャンペーンでは以前のツールが、正規のNFC(近距離通信)リレーアプリケーションであるHandyPayの改変版に置き換えられています。これにより、攻撃者は機密金融データを傍受して再利用できるようになります。
研究者によると、悪意のあるバージョンのHandyPayは2025年11月から配布されており、主にブラジルのユーザーを標的としています。
インストールされると、このアプリは被害者のNFC支払いカードデータを攻撃者管理のデバイスにリレーし、不正な非接触取引とATM引き出しを可能にします。
2つの異なるマルウェアサンプルが観察されました。どちらも同じドメイン上でホストされているフィッシングインフラを通じて配布されています。1つはブラジルの宝くじサイトになりすまし、もう1つはカード保護ツールのGoogle Playリスティングを模倣しています。
トロイの木馬化されたアプリが秘密のNFC悪用を可能にする
確立されたマルウェア・アズ・ア・サービス(MaaS)キットに依存する代わりに、運用者はHandyPayを改変して悪意のある機能を含めました。
正規のアプリはユーザーがデバイス間でNFCカードデータを共有することを可能にしていますが、この機能は攻撃者によって疑いを引き起こさずに支払い情報を転送するために悪用されました。
被害者は偽のウェブサイトと対話した後、手動でアプリをインストールするよう指示されます。このアプリは公式ストアで入手できないため、Androidはインストール時にユーザーに不明なソースからのアプリを許可するよう促します。
インストールされると、マルウェアは複数のアクションを実行します:
-
デバイスにタップされた支払いカードからNFCデータを取得する
-
被害者のカードPINをリクエストして記録する
-
両方のデータセットを攻撃者管理インフラストラクチャに送信する
モバイルバンキングマルウェアについて詳しく読む:数千のAndroidマルウェアサンプルで検出されたAPK不正形式
多くのAndroid脅威とは異なり、トロイの木馬化されたアプリは最小限のアクセス許可しか必要とせず、代わりにデフォルト支払いアプリケーションとしての役割に依存しています。この設計は、完全な機能を維持しながら検出を回避するのに役立ちます。
マルウェア開発における生成AIが疑われている
証拠は、悪意のあるコードが生成AIツールを使用して部分的に生成された可能性があることを示唆しています。研究者はデバッグログ内の絵文字マーカーを特定しました。これはしばしばAI支援コード生成と関連付けられています。
決定的な証拠ではありませんが、この調査結果は、脅威アクターが大規模言語モデル(LLM)を使用してマルウェア開発を加速させているという広範なトレンドと一致しています。
このキャンペーンは、NFC技術に基づく詐欺技術の転換も反映しています。初期のNGate亜種はNFCGateなどのオープンソースツールに依存していましたが、新しい操作ではNFCリレー機能とバンキング型トロイの木馬の機能をますます組み合わせています。
ESETは調査結果をGoogleと共有しました。Googleによると、Google Play Protectはマルウェアの既知バージョンを検出しています。
HandyPayの開発者も通知されており、そのアプリケーションの悪用について調査しているとのことです。
翻訳元: https://www.infosecurity-magazine.com/news/trojanized-android-handle-nfc/
