Νέα παραλλαγή του NGate malware κλέβει δεδομένα κάρτας μέσω NFC και PIN από Android, χωρίς ποτέ να αγγίξουν φυσικά την κάρτα σου.
Η νέα παραλλαγή του NGate malware κλέβει δεδομένα κάρτας μέσω NFC χωρίς καμία φυσική επαφή, μέσα από τροποποιημένη έκδοση της εφαρμογής HandyPay για Android.
Οι επιτιθέμενοι αναμεταδίδουν τα στοιχεία της κάρτας σε δική τους συσκευή και πραγματοποιούν αναλήψεις από ΑΤΜ ή πληρωμές.
Στον κώδικα εντοπίστηκαν ενδείξεις πιθανής χρήσης τεχνητής νοημοσύνης κατά την ανάπτυξή του.
Νέα έκδοση του κακόβουλου λογισμικού NGate εντοπίστηκε από το Ερευνητικό Κέντρο της ESET, αυτή τη φορά μεταμφιεσμένη μέσα στη νόμιμη εφαρμογή πληρωμών HandyPay για Android. Σύμφωνα τους ερευνητές της ESET ο κακόβουλος κώδικας πιθανότατα παρήχθη με τη βοήθεια εργαλείων τεχνητής νοημοσύνης. Η εκστρατεία διάδοσης φαίνεται να ξεκίνησε τον Νοέμβριο του 2025 και παραμένει ενεργή.
Ο τροποποιημένος κώδικας μέσα στο HandyPay επιτρέπει στους επιτιθέμενους να αναμεταδίδουν δεδομένα NFC από την κάρτα πληρωμής του θύματος στη συσκευή τους. Με τον τρόπο αυτό, οι δράστες μπορούν να πραγματοποιούν ανέπαφες αναλήψεις μετρητών από ΑΤΜ και μη εξουσιοδοτημένες πληρωμές σε καταστήματα. Παράλληλα, το malware καταγράφει τους κωδικούς PIN των καρτών και τους στέλνει σε διακομιστή εντολών και ελέγχου (C&C) που ελέγχουν οι δράστες.
Στα αρχεία καταγραφής εντοπίστηκε emoji που θεωρείται χαρακτηριστικό κειμένου παραγόμενου από LLM, ένδειξη ότι η ανάπτυξη του κώδικα ενδέχεται να βασίστηκε σε generative AI εργαλεία. Δεν υπάρχει ωστόσο οριστική απόδειξη.
Η μολυσμένη έκδοση του HandyPay δεν διανεμήθηκε ποτέ μέσω του επίσημου Google Play Store.
Και τα δύο sites φιλοξενούνταν στο ίδιο domain, στοιχείο που υποδηλώνει έναν ενιαίο παράγοντα απειλής. Οι κύριοι στόχοι εντοπίζονται στη Βραζιλία, αλλά οι NFC επιθέσεις παρουσιάζουν τάση επέκτασης σε άλλες περιοχές.
Σύμφωνα με τον ερευνητή της ESET Lukáš Štefanko, η επιλογή είναι καθαρά οικονομική. Λύσεις malware-as-a-service όπως η NFU Pay κοστίζουν περίπου 400 δολάρια τον μήνα και η TX-NFC γύρω στα 500 δολάρια, ενώ η νόμιμη συνδρομή του HandyPay κοστίζει μόλις 9,99 ευρώ τον μήνα. Επιπλέον, το HandyPay δεν απαιτεί ειδικές άδειες πέρα από το να οριστεί ως προεπιλεγμένη εφαρμογή πληρωμών — γεγονός που βοηθά τους δράστες να περάσουν απαρατήρητοι.
Η ESET, ως συνεργάτης της App Defense Alliance, ενημέρωσε ήδη την Google αλλά και τους δημιουργούς του HandyPay για την κακόβουλη χρήση της εφαρμογής τους.
Η ιστορία του τροποποιημένου HandyPay δείχνει ξεκάθαρα ότι το οικοσύστημα του NFC malware ωριμάζει, ενώ το γεγονός ότι ακόμα και οι ίδιες οι κακόβουλες εκστρατείες αρχίζουν να αξιοποιούν AI εργαλεία για να μειώσουν το τεχνικό κατώφλι εισόδου, θα έπρεπε να μας προβληματίζει. Ο μέσος κάτοχος Android θα πρέπει να αποφεύγει αυστηρά εγκαταστάσεις APK εκτός Google Play και να μην εμπιστεύεται διαφημιστικά links από SMS ή κοινωνικά δίκτυα — ειδικά όταν αφορούν λοταρίες ή «προστασία κάρτας».
Το malware αναμεταδίδει τα δεδομένα NFC της κάρτας από τη μολυσμένη συσκευή του θύματος σε συσκευή των δραστών. Από εκεί, οι επιτιθέμενοι κάνουν ανέπαφες αναλήψεις από ΑΤΜ ή πληρωμές σαν να είχαν τη φυσική κάρτα στο χέρι τους.
Κρύβεται μέσα σε τροποποιημένη έκδοση της νόμιμης εφαρμογής HandyPay για Android. Η έκδοση αυτή δεν διατέθηκε ποτέ στο Google Play Store, αλλά μόνο μέσω ψεύτικων ιστοσελίδων.
Ναι, ο κακόβουλος κώδικας υποκλέπτει τους κωδικούς PIN και τους στέλνει στον διακομιστή ελέγχου των δραστών. Έτσι ολοκληρώνονται ανέπαφες αναλήψεις μετρητών από ΑΤΜ.
Οι κύριοι στόχοι βρίσκονται στη Βραζιλία, μέσω ψεύτικων ιστοσελίδων που μιμούνται την κρατική λοταρία Rio de Prêmios και το Google Play. Οι NFC επιθέσεις αυτού του τύπου τείνουν όμως να επεκταθούν και σε άλλες περιοχές.
Κατέβαζε εφαρμογές μόνο από το επίσημο Google Play Store και απόφυγε APK από διαφημιστικούς συνδέσμους ή SMS. Διατήρησε ενεργό αξιόπιστο antivirus και κράτα τη συσκευή σου ενημερωμένη με τις τελευταίες ενημερώσεις ασφαλείας Android.
Με την εγγραφή σας αποδέχεστε την Πολιτική Απορρήτου.
Οι «disposable UIs» αλλάζουν τα πάντα: διεπαφές μιας χρήσης που δημιουργούνται από AI και εξαφανίζονται. Τι σημαίνει για χρήστες και developers.
Το iOS 27 φέρνει τρία νέα AI εργαλεία επεξεργασίας στο Photos: Extend, Enhance και Reframe. Δείτε πώς θα αλλάξουν τις φωτογραφίες στο iPhone.
Η NVIDIA παρουσίασε το Nemotron 3 Nano Omni, ένα ανοιχτό multimodal μοντέλο με 9x throughput για AI agents νέας γενιάς.
Η Xiaomi κυκλοφόρησε το HyperOS Developer Preview βασισμένο σε Android 17 Beta 2 για Xiaomi 17, 17 Ultra και 17 Ultra Leica Edition.
A project by Κώστας Βλαχάκης
Σχόλια