Σε μια περίοδο όπου οι ψηφιακές πληρωμές επεκτείνονται ταχύτατα, οι κυβερνοεπιθέσεις προσαρμόζονται με εξίσου γρήγορο ρυθμό, αξιοποιώντας ακόμη και νόμιμες εφαρμογές για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα. Η νέα εκδοχή του κακόβουλου λογισμικού NGate αποτελεί χαρακτηριστικό παράδειγμα αυτής της μετάβασης.
Το Ερευνητικό Κέντρο της ESET εντόπισε μια αναβαθμισμένη παραλλαγή του NGate, η οποία αντί για το γνωστό εργαλείο NFCGate αξιοποιεί μια κανονική εφαρμογή Android, το HandyPay. Οι επιτιθέμενοι τροποποίησαν την εφαρμογή μεταφοράς δεδομένων NFC, ενσωματώνοντας κακόβουλο κώδικα που φέρει ενδείξεις δημιουργίας μέσω τεχνητής νοημοσύνης.
Πώς λειτουργεί το νέο NGate
Όπως και στις προηγούμενες εκδόσεις, το κακόβουλο λογισμικό επιτρέπει τη μεταφορά δεδομένων NFC από την κάρτα πληρωμής του θύματος σε συσκευή που ελέγχεται από τον δράστη. Τα στοιχεία αυτά μπορούν στη συνέχεια να χρησιμοποιηθούν για ανέπαφες αναλήψεις από ΑΤΜ ή για μη εξουσιοδοτημένες συναλλαγές.
Παράλληλα, το NGate έχει τη δυνατότητα να καταγράφει τους κωδικούς PIN των καρτών και να τους αποστέλλει σε διακομιστές ελέγχου (C&C), επιτρέποντας πλήρη εκμετάλλευση των οικονομικών στοιχείων των θυμάτων. Αν και οι βασικοί στόχοι εντοπίζονται στη Βραζιλία, οι ειδικοί εκτιμούν ότι τέτοιου τύπου επιθέσεις εξαπλώνονται σταδιακά και σε άλλες αγορές.
Ενδείξεις χρήσης τεχνητής νοημοσύνης
Ιδιαίτερο ενδιαφέρον παρουσιάζει η προέλευση του κακόβουλου κώδικα. Σύμφωνα με την ανάλυση της ESET, υπάρχουν ενδείξεις ότι τμήματα του trojan δημιουργήθηκαν με εργαλεία GenAI.
Σε αρχεία καταγραφής εντοπίστηκε ακόμη και emoji, στοιχείο που συχνά συνδέεται με περιεχόμενο που έχει παραχθεί από μεγάλα γλωσσικά μοντέλα. Αν και δεν υπάρχει οριστική απόδειξη, οι ειδικοί δεν αποκλείουν τη χρήση LLM για την ανάπτυξη ή τροποποίηση του κακόβουλου λογισμικού.
Η εξέλιξη αυτή εντάσσεται σε μια ευρύτερη τάση, όπου η τεχνητή νοημοσύνη διευκολύνει τη δράση κυβερνοεγκληματιών, μειώνοντας τα τεχνικά εμπόδια και επιτρέποντας την ανάπτυξη εξελιγμένων εργαλείων από λιγότερο έμπειρους χρήστες.
Διασπορά και μέθοδοι εξαπάτησης
Η εκστρατεία διάδοσης του μολυσμένου HandyPay φαίνεται να ξεκίνησε τον Νοέμβριο του 2025 και να παραμένει ενεργή. Η κακόβουλη έκδοση της εφαρμογής δεν φιλοξενήθηκε ποτέ στο επίσημο κατάστημα Google Play, γεγονός που υποδεικνύει διανομή μέσω ανεπίσημων καναλιών.
Οι δράστες αξιοποίησαν ιστοσελίδες που μιμούνται αξιόπιστες υπηρεσίες. Ένα από τα δείγματα διακινήθηκε μέσω ιστότοπου που προσποιείται πρόγραμμα λοταρίας στο Ρίο ντε Τζανέιρο, ενώ άλλο εμφανίστηκε ως εφαρμογή «Proteção Cartão» σε ψεύτικη σελίδα τύπου Google Play.
Και οι δύο ιστοσελίδες συνδέονται με το ίδιο domain, στοιχείο που ενισχύει την εκτίμηση ότι πίσω από την εκστρατεία βρίσκεται ένας ενιαίος φορέας απειλής.
Οι επιθέσεις που βασίζονται στο NFC γίνονται ολοένα και πιο συχνές, με το σχετικό οικοσύστημα να ενισχύεται διαρκώς. Οι πρώτες εκδόσεις του NGate αξιοποιούσαν το εργαλείο ανοιχτού κώδικα NFCGate για μεταφορά δεδομένων.
Σήμερα, η αγορά έχει γεμίσει με λύσεις τύπου malware-as-a-service, που προσφέρουν παρόμοιες δυνατότητες. Στην προκειμένη περίπτωση, οι επιτιθέμενοι επέλεξαν να αναπτύξουν δική τους προσέγγιση, τροποποιώντας μια ήδη υπάρχουσα εφαρμογή, γεγονός που καθιστά την απειλή πιο δύσκολα ανιχνεύσιμη.
Η αξιοποίηση νόμιμων εφαρμογών ως «οχήματα» επίθεσης αυξάνει σημαντικά τον κίνδυνο για τους χρήστες, καθώς μειώνει τις πιθανότητες υποψίας. Παράλληλα, η χρήση τεχνητής νοημοσύνης αναμένεται να ενισχύσει περαιτέρω την πολυπλοκότητα των επιθέσεων.
Το NGate δείχνει ότι το μέλλον της κυβερνοασφάλειας δεν θα αφορά μόνο την άμυνα απέναντι σε κακόβουλο κώδικα, αλλά και την αντιμετώπιση ολοένα και πιο εξελιγμένων μεθόδων που συνδυάζουν τεχνολογία, εξαπάτηση και αυτοματοποίηση.
Διαβάστε ακόμη
Παγκόσμιος συναγερμός για τα αποθέματα πετρελαίου: Οριακή η κατάσταση στις αγορές ενέργειας
Με αυτό το απλό τεστ σε μία καρέκλα προβλέπονται κατάγματα, νοσηλείες και θνησιμότητα
Για όλες τις υπόλοιπες ειδήσεις της επικαιρότητας μπορείτε να επισκεφτείτε το Πρώτο Θέμα
Σχολίασε εδώ
Για να σχολιάσεις, χρησιμοποίησε ένα ψευδώνυμο.