攻撃者は改ざんされたAndroid NFCアプリを悪用して、支払いカードデータとPINを盗み、非接触詐欺とATM現金引き出しを行っています。
サイバー犯罪者は、トロイの木馬化されたAndroidペイメントアプリケーションを悪用して、近距離無線通信(NFC)データとPINを盗み、支払いカードの複製と被害者のアカウント資金流出を可能にしています。
ESETの研究者によると、新しいバリアントのNGateマルウェアがHandyPay NFCリレーアプリケーションに注入され、NFCデータを攻撃者のデバイスに転送し、非接触ATM現金引き出しに使用されています。
このキャンペーンではAIの使用が疑われています。「HandyPayをトロイ化するために、脅威アクターは最もおそらくGenAIを使用したと思われます。これはログに残されたAI生成テキストに典型的な絵文字で示唆されています」と研究者たちはブログ投稿で述べています。
このキャンペーンは、2025年11月以来、ブラジルのAndroidユーザーを標的とした攻撃で、偽のロッタリーウェブサイトと偽のGoogle Playウェブサイトを通じて、2つのマルウェアサンプルを配布しています。
正規アプリが悪事を行う
ESET研究者たちは、このキャンペーンがNGateオペレーターがカスタムツーリングからトロイ化された正規アプリケーションへシフトしていることを示唆していることを指摘しています。もともとデバイス間のNFCデータをリレーするために設計されたHandyPayは、最小限のパーミッションを必要とし、予想される支払いワークフローに溶け込むために使用されています。
アプリが予想されるNFCワークフロー内で動作するため、攻撃者が攻撃を隠しやすくなっています。
配布チャネルには、ブラジルの「Rio de Premios」に偽装した偽のロッタリーサイト、および「カード保護」ツールを宣伝する偽造されたGoogle Playページが含まれています。
AIが使用されたと考えられます
ESET研究者たちはマルウェアの内部で何か異常なものを発見しました。いくつかの痕跡は、生成AIが開発に役割を果たしたかもしれないことを示唆しています。
具体的には、注入された悪意のあるコードはデバッグログに絵文字マーカーを含んでいます。これは人間が書いたマルウェアよりも、AI生成の出力と関連していることがより一般的です。研究者たちは、これは決定的な証拠ではありませんが、攻撃者が大規模言語モデルを使用してマルウェア作成を加速させるというより広い傾向と一致していることに注目しています。
Androidは現在、セキュリティアラートの形でこの攻撃ベクトルに対する保護を持っています。「被害者は手動でHandyPayのトロイ化バージョンをインストールする必要があります。アプリはGoogle Play以外でのみ利用可能であるため」と研究者たちは述べています。「ユーザーがブラウザーでアプリダウンロードボタンをタップすると、Androidは自動的にインストールをブロックし、このソースからのインストールを許可するよう求めるプロンプトを表示します。」
攻撃が成功するためには、ユーザーはプロンプトで「設定」をタップし、「このソースから許可」を有効にして、アプリのインストールに戻る必要があります。これは最近のサードパーティアプリケーションインストールではかなり一般的なプロセスです。「ダウンロードを許可」ワークフローでこの脅威から保護するために特に疑わしいことは何も目立ちません。
ESETは、検出作業をサポートするためにファイル、ハッシュ、ネットワークインジケーター、およびMITRE ATT&CKマップを含む専用GitHubリポジトリでインジケーターのリストを共有しました。
翻訳元: https://www.csoonline.com/article/4161983/nfc-tap-to-pay-gets-tapped-by-hackers.html
