13/05/2026
Τεχνολογικά Νέα
ESET: Νέα παραλλαγή του κακόβουλου λογισμικού NGate κρύβεται σε εφαρμογή πληρωμών NFC και ενδέχεται να δημιουργήθηκε με AI
Το Ερευνητικό Κέντρο της ESET εντόπισε νέα παραλλαγή της οικογένειας κακόβουλου λογισμικού NGate, η οποία, αντί του εργαλείου NFCGate που χρησιμοποιούσε προηγουμένως, εκμεταλλεύεται μια νόμιμη εφαρμογή Android με την ονομασία HandyPay. Οι επιτιθέμενοι τροποποίησαν την εφαρμογή μεταφοράς δεδομένων NFC, ενσωματώνοντας κακόβουλο κώδικα που φαίνεται να έχει παραχθεί με τη χρήση τεχνητής νοημοσύνης.
Όπως και σε προηγούμενες εκδόσεις του NGate, το κακόβουλο λογισμικό επιτρέπει στους επιτιθέμενους να μεταφέρουν δεδομένα NFC από την κάρτα πληρωμής του θύματος στη δική τους συσκευή και να τα αξιοποιούν για ανέπαφες αναλήψεις μετρητών από ΑΤΜ, καθώς και για μη εξουσιοδοτημένες πληρωμές. Επιπλέον, μπορεί να καταγράφει τους κωδικούς PIN των καρτών πληρωμής των θυμάτων και να τους αποστέλλει στον διακομιστή εντολών και ελέγχου (C&C) των δραστών. Οι κύριοι στόχοι του συγκεκριμένου κακόβουλου λογισμικού εντοπίζονται στη Βραζιλία. Ωστόσο, οι επιθέσεις που βασίζονται σε NFC φαίνεται να επεκτείνονται και σε άλλες περιοχές.
Ο κακόβουλος κώδικας που χρησιμοποιήθηκε για την εγκατάσταση του trojan στο HandyPay παρουσιάζει ενδείξεις ότι δημιουργήθηκε με τη βοήθεια εργαλείων GenAI. Συγκεκριμένα, τα αρχεία καταγραφής περιέχουν ένα emoji που θεωρείται χαρακτηριστικό κειμένου παραγόμενου από τεχνητή νοημοσύνη, γεγονός που υποδηλώνει πιθανή εμπλοκή μεγάλων γλωσσικών μοντέλων (LLM) στη δημιουργία ή τροποποίησή του, αν και δεν υπάρχουν ακόμη οριστικές αποδείξεις.
Η εξέλιξη αυτή εντάσσεται σε μια ευρύτερη τάση, σύμφωνα με την οποία η GenAI διευκολύνει κυβερνοεγκληματίες, επιτρέποντας ακόμη και σε άτομα με περιορισμένες τεχνικές δεξιότητες να αναπτύσσουν λειτουργικό κακόβουλο λογισμικό.
Το Κέντρο Ερευνών της ESET εκτιμά ότι η εκστρατεία διάδοσης του HandyPay με το κακόβουλο λογισμικό ξεκίνησε το Νοέμβριο του 2025 και παραμένει ενεργή μέχρι σήμερα. Αξίζει επίσης να σημειωθεί ότι η έκδοση του HandyPay με το κακόβουλο λογισμικό δεν ήταν ποτέ διαθέσιμη στο επίσημο Google Play Store. Ως συνεργάτης της App Defense Alliance, η ESET κοινοποίησε τα ευρήματά της στην Google. Παράλληλα, η ESET επικοινώνησε με τους προγραμματιστές του HandyPay, προκειμένου να τους ενημερώσει για την κακόβουλη χρήση της εφαρμογής τους.
Καθώς ο αριθμός των απειλών που σχετίζονται με το NFC συνεχίζει να αυξάνεται, το οικοσύστημα που τις υποστηρίζει γίνεται ολοένα και πιο ισχυρό. Οι πρώτες επιθέσεις NGate χρησιμοποίησαν το εργαλείο ανοιχτού κώδικα NFCGate για να διευκολύνουν τη μεταφορά δεδομένων μέσω NFC. Έκτοτε, έχουν εμφανιστεί στην αγορά αρκετές λύσεις malware-as-a-service (MaaS) με παρόμοια λειτουργικότητα. Ωστόσο, στη συγκεκριμένη εκστρατεία οι δράστες επέλεξαν να αναπτύξουν τη δική τους προσέγγιση, τροποποιώντας μια ήδη υπάρχουσα εφαρμογή - το HandyPay.
