NGate Android NFC kihasználás
Az ESET egy új NGat NFC-alapú fizetési visszaélésre optimalizált Android malwaret ismertet, amely legitim alkalmazásba ágyazva jelenik meg. A kampányban a támadók egy valódi NFC-relé funkciót biztosító HandyPay alkalmazást módosítottak, és azt trójai változatként terjesztik, így a fertőzés nem exploiton, hanem legitimnek tűnő alkalmazástelepítésen keresztül történik. A terjesztés jellemzően pszichológiai megtévesztési láncon alapul, például hamis nyereményjáték-oldalakon vagy Google Play-t utánzó weboldalakon keresztül.
A kompromittáció során az alkalmazás arra veszi rá a felhasználót, hogy állítsa be alapértelmezett NFC fizetési appként, majd kérje a bankkártya PIN-kódját és a kártya fizikai érintését. Ezzel a malware képes a kártya NFC-adatainak megszerzésére és továbbítására a támadó eszközére. A megszerzett adatok felhasználhatók kontaktmentes tranzakciókra vagy ATM-es készpénzfelvételre, mivel a támadó oldalon az eredeti kártya emulálható.
A technikai modell az NFC relay attack gyakorlati implementációja, ahol a fertőzött mobil eszköz köztes kommunikációs csatornaként működik a fizikai bankkártya és a támadó között. Ez a megközelítés különösen jelentős, mert a támadás során nem szükséges a kártya fizikai ellopása, elegendő a rövid idejű NFC-hozzáférés.
Az új variáns fontos evolúciós lépés, mivel a korábbi NGate verziók egy kutatási eszközre épültek, míg itt a támadók egy legitim, alacsony költségű alkalmazást használnak fel, amely kevesebb gyanút kelt és kevesebb jogosultságot igényel. Emellett a kód egyes jellemzői arra utalnak, hogy a malware fejlesztésében generatív AI eszközöket is felhasználhattak, ami csökkenti a belépési küszöböt a támadók számára.
A kampány legalább 2025 novembere óta aktív, és elsősorban brazil felhasználókat céloz, de az alkalmazott technika általánosítható, így más régiókban is megjelenhet.
