Η εταιρεία κυβερνοασφάλειας ESET ανακάλυψε νέα επικίνδυνη παραλλαγή του κακόβουλου λογισμικού NGate, η οποία εκμεταλλεύεται μια νόμιμη εφαρμογή Android, την HandyPay, για να κλέβει δεδομένα NFC από κάρτες πληρωμής. Το κακόβουλο λογισμικό επιτρέπει ανέπαφες αναλήψεις από ΑΤΜ και μη εξουσιοδοτημένες πληρωμές, ενώ καταγράφει και τους κωδικούς PIN των θυμάτων. Η εκστρατεία ξεκίνησε τον Νοέμβριο του 2025 και παραμένει ενεργή, με κύριους στόχους στη Βραζιλία, αν και οι επιθέσεις επεκτείνονται σταδιακά και σε άλλες περιοχές.
Πώς λειτουργεί η νέα παραλλαγή NGate
Το Ερευνητικό Κέντρο της ESET εντόπισε τη νέα παραλλαγή της οικογένειας κακόβουλου λογισμικού NGate ενσωματωμένη στην εφαρμογή HandyPay, μια νόμιμη εφαρμογή μεταφοράς δεδομένων NFC για Android. Οι χάκερς τροποποίησαν την εφαρμογή, προσθέτοντας κακόβουλο κώδικα που αποκτά πρόσβαση στα δεδομένα NFC των καρτών πληρωμής των χρηστών. Αυτά τα δεδομένα μεταφέρονται στη συσκευή των επιτιθέμενων, οι οποίοι στη συνέχεια πραγματοποιούν ανέπαφες αναλήψεις μετρητών από ΑΤΜ ή διενεργούν μη εξουσιοδοτημένες πληρωμές. Παράλληλα, το κακόβουλο λογισμικό καταγράφει τους κωδικούς PIN των θυμάτων και τους αποστέλλει στον διακομιστή εντολών και ελέγχου των κυβερνοεγκληματιών.
Σημαντικό εύρημα αποτελεί η ένδειξη ότι ο κακόβουλος κώδικας δημιουργήθηκε με τη βοήθεια εργαλείων Τεχνητής Νοημοσύνης (GenAI). Τα αρχεία καταγραφής του κώδικα περιέχουν emoji, χαρακτηριστικό γνώρισμα κειμένου παραγόμενου από AI, γεγονός που υποδηλώνει πιθανή εμπλοκή μεγάλων γλωσσικών μοντέλων (LLM) στη δημιουργία ή τροποποίηση του κακόβουλου κώδικα. Αν και δεν υπάρχουν ακόμη οριστικές αποδείξεις, η ESET επισημαίνει ότι η συγκεκριμένη πρακτική εντάσσεται σε ευρύτερη τάση: η Generative AI διευκολύνει κυβερνοεγκληματίες ακόμη και με περιορισμένες τεχνικές δεξιότητες να αναπτύσσουν λειτουργικό κακόβουλο λογισμικό. Η εκστρατεία ξεκίνησε τον Νοέμβριο του 2025 και βρίσκεται σε εξέλιξη έως σήμερα.
Η μολυσμένη έκδοση της εφαρμογής HandyPay δεν ήταν ποτέ διαθέσιμη στο επίσημο Google Play Store, γεγονός που υποδηλώνει ότι διαδίδεται μέσω ανεπίσημων καναλιών, όπως άγνωστα καταστήματα εφαρμογών ή απευθείας λήψεις αρχείων APK. Οι κύριοι στόχοι εντοπίζονται στη Βραζιλία, ωστόσο οι επιθέσεις που βασίζονται σε τεχνολογία NFC φαίνεται να επεκτείνονται σταδιακά και σε άλλες γεωγραφικές περιοχές. Αυτό καθιστά το NGate κακόβουλο λογισμικό απειλή με διεθνείς διαστάσεις, που απαιτεί αυξημένη επαγρύπνηση από χρήστες κινητών τηλεφώνων παγκοσμίως.
Αντιδράσεις: Η ESET ενημέρωσε Google και προγραμματιστές HandyPay
Μόλις εντόπισε τη νέα παραλλαγή, η ESET κοινοποίησε τα ευρήματά της στην Google, στο πλαίσιο της συνεργασίας της εταιρείας ως μέλους της App Defense Alliance. Πρόκειται για συμμαχία που αποσκοπεί στην προστασία του οικοσυστήματος Android από κακόβουλες εφαρμογές. Παράλληλα, η ESET επικοινώνησε απευθείας με τους προγραμματιστές του HandyPay για να τους ενημερώσει σχετικά με την κακόβουλη εκμετάλλευση της εφαρμογής τους. Η κίνηση αυτή αποσκοπεί στον περιορισμό της διάδοσης της μολυσμένης έκδοσης και στην προστασία των νόμιμων χρηστών της εφαρμογής.
Η οικογένεια κακόβουλου λογισμικού NGate δεν ήταν άγνωστη στους ειδικούς κυβερνοασφάλειας. Προηγούμενες εκδόσεις του ίδιου λογισμικού είχαν χρησιμοποιηθεί σε παρόμοιες επιθέσεις που στοχεύουν την τεχνολογία NFC καρτών πληρωμής. Ωστόσο, η νέα παραλλαγή παρουσιάζει αυξημένη πολυπλοκότητα, καθώς φαίνεται να αξιοποιεί εργαλεία Τεχνητής Νοημοσύνης για την ανάπτυξή της. Αυτό σηματοδοτεί ανησυχητική στροφή στο τοπίο των κυβερνοαπειλών, αφού χαμηλώνει σημαντικά τον τεχνικό πήχη για όποιον επιθυμεί να αναπτύξει κακόβουλο λογισμικό.
Η ESET τονίζει ότι η χρήση εργαλείων GenAI από κυβερνοεγκληματίες αποτελεί αναδυόμενη τάση που ανησυχεί σοβαρά τους ειδικούς. Άτομα χωρίς εξειδικευμένες τεχνικές γνώσεις μπορούν πλέον να δημιουργούν λειτουργικό κακόβουλο λογισμικό με τη βοήθεια LLM, γεγονός που αυξάνει τον κίνδυνο για απλούς χρήστες. Η εταιρεία προτρέπει τους χρήστες να κατεβάζουν εφαρμογές αποκλειστικά από επίσημα καταστήματα, όπως το Google Play Store, και να είναι επιφυλακτικοί απέναντι σε εφαρμογές που ζητούν πρόσβαση στην τεχνολογία NFC της συσκευής τους.
Τι ακολουθεί
Η εκστρατεία διάδοσης της μολυσμένης έκδοσης της εφαρμογής HandyPay παραμένει ενεργή από τον Νοέμβριο του 2025, ενώ οι επιθέσεις NGate με τεχνολογία NFC επεκτείνονται σε νέες αγορές πέρα από τη Βραζιλία. Η ESET συνεχίζει να παρακολουθεί την εξέλιξη της εκστρατείας και να συνεργάζεται με τους αρμόδιους φορείς για τον περιορισμό της απειλής. Οι χρήστες Android καλούνται να επαληθεύουν πάντα την πηγή των εφαρμογών που εγκαθιστούν και να αποφεύγουν ανεπίσημες πλατφόρμες διανομής λογισμικού. Συνιστάται επίσης η τακτική παρακολούθηση των τραπεζικών συναλλαγών για τυχόν ύποπτη δραστηριότητα.
