新しいNGateバリアントがトロイの木馬化されたNFC決済アプリに隠れている

ESET Researchは、以前に利用されていたNFCGateツールの代わりに、HandyPayという正当なAndroidアプリケーションを悪用するNGateマルウェアファミリーの新しいバリアントを発見しました。脅威行為者はNFCデータをリレーするために使用されるアプリケーションを取得し、AI生成されたと思われる悪意のあるコードでパッチを適用しました。NGateの以前のバージョンと同様に、このマルウェアは攻撃者が被害者の決済カードからNFCデータを自分のデバイスに転送し、非接触ATMでの現金引き出しと不正な支払いに使用することができます。さらに、このコードは被害者の決済カードPINをキャプチャしてオペレーターのC&Cサーバーに流出させることもできます。

このブログ投稿の重要なポイント:

• ESET研究者は、正当なAndroidアプリケーションHandyPayを悪用する新しいNGateマルウェアバリアントを発見しました。
• HandyPayをトロイの木馬化するために、脅威行為者はおそらくGenAIを使用しました。これはAI生成テキストに典型的なログに残されている絵文字で示されています。
• キャンペーンは2025年11月から続いており、ブラジルのAndroidユーザーをターゲットにしています。
• NFCデータをリレーすること以外に、悪意のあるコードは決済カードPINも盗みます。
• 攻撃で配布されているNGateサンプルが2つ見られました。1つは偽のロトサイト経由、もう1つは偽のGoogle Playサイト経由です。両方のサイトが同じドメインでホストされており、単一の脅威行為者を強く示唆しています。

これらの攻撃はブラジルのユーザーをターゲットにしており、トロイの木馬化されたアプリはブラジルのロトサイトであるRio de Prêmiosを偽装するウェブサイト、および偽のGoogle Playページ経由で配布されています。これはブラジルを狙った最初のNGateキャンペーンではありません。H2 2025 Threat Reportで説明したように、NFC ベースの攻撃は新しい地域に拡大しており、より洗練された戦術と技術を活用しており、特にブラジルはPhantomCardと呼ばれるNGateのバリアントをターゲットにしています。攻撃者は新しいソーシャルエンジニアリングアプローチを試験しており、NFC悪用と銀行トロイの木馬機能をますます組み合わせています。

このキャンペーンはトロイの木馬化されたHandyPayを配布している2025年11月頃に始まったと考えられており、このブログ投稿を書いている時点で活動中です。悪意のあるパッチが適用されたバージョンのHandyPayは公式のGoogle Playストアで利用可能になったことはありません。App Defense Allianceパートナーとして、私たちはGoogleと私たちの調査結果を共有しました。Androidユーザーは、Androidデバイスでデフォルトで有効になっているGoogle Play Protectにより、このマルウェアの既知バージョンから自動的に保護されています。

また、HandyPayの開発者に連絡して、自分たちのアプリケーションの悪意のある使用について警告しました。コミュニケーションを確立した後、彼らは自分たちの側で内部調査を実施していることを確認しました。

HandyPayの悪用

NFC脅威の数が増え続けるにつれて、それらをサポートするエコシステムもより堅牢になっています。最初のNGate攻撃はNFCデータの転送を容易にするためにオープンソースのNFCGateツールを採用しました。それ以来、NFU PayやTX-NFCなど、同様の機能を備えたマルウェア・アズ・ア・サービス(MaaS)オファリングが購入可能になりました。これらのキットはTelegram上でアフィリエイトに積極的に販売されています(そのような広告の1つを図2に示します)。例えば、前述のPhantomCardの攻撃もブラジルをターゲットにしており、データ転送を容易にするためにNFU Payを採用しました。このブログ投稿で説明されているキャンペーンの場合、脅威行為者は独自のソリューションを採用し、既存のアプリケーション、HandyPayを悪意のある方法でパッチを適用することにしました。

HandyPay(公式ウェブサイト)は2021年からGoogle Playで利用可能なAndroidアプリケーションです。これはNFCデータを1つのデバイスから別のデバイスにリレーすることができ、ファミリーメンバーとカードを共有したり、子供が1回限りの購入ができるようにしたりするために使用できます。データは最初にカード所有者のデバイスで読み取られ、次にリンクされたデバイスと共有されます。ユーザーがメールアドレスでアカウントをリンクした後、カード所有者はNFC経由で決済カードをスキャンし、暗号化されたデータがインターネット経由でペアリングされたデバイスに転送されます。そのデバイスは、元のカード所有者のカードを使用してタップして支払いアクションを実行できます。プロセスが機能するには、ユーザーはHandyPayをデフォルトの支払いアプリケーションとして設定し、Googleまたはメールベースのトークンでサインインする必要があります。

開発者のウェブサイトによると、アプリケーションには利益化の程度があります(図3を参照):リーダーとしてアプリケーションを使用することは無料です(「ゲストアクセス」)が、ペアリングされたデバイスでカードをエミュレートする(「ユーザーアクセス」)には、月額€9.99のサブスクリプションが必要です。ただし、サイトはこの手数料を寄付として描写しており、支払いは公式のGoogle Playストアのページに記載されていません。

なぜこのキャンペーンのオペレーターはNFCデータをリレーするための確立されたソリューションを使用する代わりにHandyPayアプリケーションをトロイの木馬化することにしたのでしょうか?答えは単純です:お金です。既存のMaaSキットのサブスクリプション手数料は数百ドルで実行されます:NFU Payはその製品をほぼ月額400米ドルでアドバタイズし、TX-NFCは月額約500米ドルです。一方、HandyPayはかなり安く、月額€9.99の寄付のみを求めています。価格に加えて、HandyPayは本来的にはアクセス許可を必要としません。デフォルトの支払いアプリケーションにするだけで、脅威行為者が疑いを引き起こすのを避けるのに役立ちます。

導入で既に述べたように、HandyPayを トロイの木馬化するために使用される悪意のあるコードはGenAIツールで生成された兆候を示しています。具体的には、マルウェアログにはAI生成テキストに典型的な絵文字が含まれており(図4のコードスニペットを参照)、LLMがコード生成または修正に関与していることを示唆していますが、決定的な証拠は依然として存在します。これは、GenAIがサイバー犯罪者への参入障壁を低下させ、限定された技術スキルを持つ脅威行為者が機能的なマルウェアを生成することができるという、より広い傾向に適合します。

キャンペーンの分析

ターゲット設定

配布ベクトルと トロイの木馬化されたアプリケーションの言語バージョンに基づいて、キャンペーンはブラジルのAndroidユーザーをターゲットにしています。攻撃者のC&Cサーバーを分析していた間に、4つの侵害されたデバイスのログも発見しました。これらはすべてブラジルに地理的に位置しています。データはキャプチャされたPINコード、IPアドレス、および攻撃に関連付けられたタイムスタンプを含んでいました。

初期アクセス

キャンペーンの一部として、2つのNGateサンプルが観察されました。それらは別々に配布されますが、同じドメイン上でホストされており、同じHandyPayアプリケーションを使用しており、同じ悪意のある脅威行為者によって実施された調整された操作を示しています。両方のサンプルの配布フローを図5に示します。

最初のNGateサンプルは、Rio de Janeiro州のロトサイト組織(Loterj)が運営するロトであるRio de Prêmiosを偽装するウェブサイト経由で配布されます。このサイトは、ユーザーが3つの一致するシンボルを明らかにすることになっているスクラッチカードゲームを示しており、ユーザーが常に20,000ブラジルレアル(R$20,000)を「勝つ」ようにリグされています(図6を参照)。賞金を獲得するために、ユーザーはボタンをタップして、事前入力されたメッセージが指定されたWhatsApp番号にアドレス指定された正当なWhatsAppを開くよう求められます(図7を参照)。信頼性を高めるために、関連するWhatsAppアカウントは、ブラジルの政府が所有する銀行であるブラジルのほとんどのロトを管理しているCaixa Econômica Federalを偽装するプロフィール画像を使用しています。

これはおそらく被害者がRio de PrêmiosアプリケーションのふりをしているパッチされたHandyPayアプリケーションに向けられている場所です。これは偽のロトサイトと同じサーバーでホストされています。テスト中に、攻撃者のWhatsAppアカウントから返信を受け取りませんでしたが、これはブラジルの電話番号を使用していないことに起因していると考えられます。

2番目のNGateサンプルは、Proteção Cartão(機械翻訳:カード保護)という名前のアプリケーションとしての偽のGoogle Playウェブページ経由で配布されます。図8のスクリーンショットは、被害者がアプリケーションを手動でダウンロードおよびインストールし、プロセス中にデバイスをトロイの木馬化されたHandyPayで侵害する必要があることを示しています。2025年10月にブラジルをターゲットにした同様の名前の悪意のあるアプリケーションが、NGateのPhantomCardバリアントを展開したキャンペーンで見られました。

実行フロー

トロイの木馬化されたHandyPayアプリケーションの操作フローの概要を図9に示します。

まず、被害者はアプリケーションがGoogle Playの外でのみ利用可能であるため、HandyPayのトロイの木馬化されたバージョンを手動でインストールする必要があります。ユーザーがブラウザーでアプリケーションボタンをダウンロードをタップすると、Androidは自動的にインストールをブロックし、このソースからのインストールを許可するよう求めるプロンプトを表示します。ユーザーはそのプロンプトの設定をタップし、「このソースからを許可」を有効にし、ダウンロード画面に戻り、アプリケーションのインストールを続行するだけです。インストールされると、アプリケーションはデフォルトの支払いアプリケーションとして設定されるよう求めます。これは図10に見られます。この機能は悪意のあるものではありません。これは公式のHandyPayアプリケーションの一部です。コードに注入された実際のマルウェアは、被害者の電話でこの設定を有効にするためにNFCデータをリレーする必要はありません。データを受信するデバイス、つまりオペレーターデバイスのみがこの設定を有効にする必要があります。さらなるアクセス許可は必要ありません(図11を参照)。悪意のあるアプリケーションをレーダーの下に保つのに役立ちます。

その後、被害者はアプリケーションに決済カードPINを入力し、NFC対応のスマートフォンの背面でカードをタップするよう求められます。マルウェアはHandyPayサービスを悪用してNFCカードデータを攻撃者が管理するデバイスに転送し、脅威行為者が被害者の決済カードデータを使用してATMから現金を引き出すことができます。オペレーターのデバイスは悪意のあるアプリケーション内にハードコードされたメールアドレスにリンクされており、キャプチャされたすべてのNFCトラフィックが攻撃者にのみルーティングされることを保証しています。分析されたサンプルで使用されている2つの異なる攻撃者のメールアドレスが観察されました。NFCリレーで転送される標準的なデータバッチに加えて、被害者の決済カードPINはHTTP経由で専用のC&Cサーバーに個別に流出されます(図12を参照)。HandyPayインフラストラクチャに依存していません。PIN収穫用のC&C エンドポイントは配布サーバーとしても機能し、配信とデータ収集操作の両方を一元化しています。

結論

別の NGate キャンペーンが登場すると、NFC詐欺が増加していることが明らかに見えます。今回、NFCGateやMaaSなどの確立されたソリューション を使用する代わりに、脅威行為者はHandyPayトロイの木馬化することを決定しました。既存のNFCリレー機能を備えたアプリケーション。AI生成コードの作成を支援するためにGenAIが使用された可能性が高いことは、サイバー犯罪人が技術的な専門知識がなくてもLLMを悪用することで害を及ぼす可能性があることを示しています。

WeLiveSecurityで公開された調査に関するお問い合わせについては、[email protected]までお問い合わせください。

ESET Researchは、プライベートAPT情報レポートおよびデータフィードを提供しています。このサービスに関するお問い合わせについては、ESET脅威インテリジェンスページにアクセスしてください。

IoC

包括的な侵害指標(IoC)とサンプルのリストは、GitHubリポジトリにあります

ファイル

ネットワーク

MITRE ATT&CKテクニック

このテーブルはMITRE ATT&CKフレームワークのバージョン18を使用して構築されました。