📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram uma nova iteração de uma famÃlia de malware Android chamada NGate que abusa de um aplicativo legÃtimo chamado HandyPay em vez de NFCGate.
“Os agentes da ameaça pegaram o aplicativo, que é usado para retransmitir dados NFC, e corrigiram-no com código malicioso que parece ter sido gerado por IA”, disse o pesquisador de segurança da ESET, Lukáš Å tefanko, em um relatório compartilhado com o The Hacker News. “Tal como acontece com as iterações anteriores do NGate, o código malicioso permite que os invasores transfiram dados NFC do cartão de pagamento da vÃtima para o seu próprio dispositivo e os utilizem para saques em caixas eletrônicos sem contato e pagamentos não autorizados.”
Além disso, a carga maliciosa é capaz de capturar o PIN do cartão de pagamento da vÃtima e exfiltrá-lo para o servidor de comando e controle (C2) do agente da ameaça.
O NGate, também conhecido como NFSkate, foi documentado publicamente pela primeira vez pelo fornecedor de segurança cibernética eslovaco em agosto de 2024, detalhando sua capacidade de realizar ataques de retransmissão para desviar dados de pagamento sem contato das vÃtimas com o objetivo de realizar transações fraudulentas.
Um ano depois, a empresa holandesa de segurança móvel ThreatFabric detalhou uma ameaça de codinome RatOn que usava aplicativos dropper que se faziam passar por versões do TikTok para adultos para implantar o NGate para realizar ataques de retransmissão NFC.
A versão mais recente do NGate detectada pela ESET tem como alvo principal usuários no Brasil, marcando a primeira campanha desse tipo a destacar o paÃs sul-americano. O aplicativo HandyPay trojanizado é distribuÃdo por meio de sites disfarçados de Rio de Prêmios, uma loteria administrada pela organização lotérica do estado do Rio de Janeiro, e uma página de listagem da Google Play Store para um suposto aplicativo de proteção de cartão.
O falso site de loteria busca convencer um usuário a tocar em um botão para enviar uma mensagem do WhatsApp para reivindicar o prêmio em dinheiro, momento em que ele é direcionado a provavelmente baixar a versão envenenada do aplicativo HandyPay. Independentemente do método usado, o aplicativo pede para ser definido como o aplicativo de pagamento padrão após a instalação.
Em seguida, a vÃtima é solicitada a inserir o PIN do cartão de pagamento no aplicativo e tocar o cartão na parte de trás do smartphone habilitado para NFC. Assim que esta etapa é realizada, o malware abusa do HandyPay para capturar e retransmitir os dados do cartão NFC para um dispositivo controlado pelo invasor, permitindo-lhes usar as informações roubadas para fazer saques de dinheiro em caixas eletrônicos.
Estima-se que a campanha ativa tenha começado por volta de novembro de 2025. A versão maliciosa do HandyPay nunca foi disponibilizada na Google Play Store, o que significa que os invasores estão usando os métodos mencionados acima como mecanismos de entrega para induzir usuários desavisados a baixá-los. Desde então, HandyPay lançou uma investigação interna sobre o assunto.
A ESET observou que os preços de assinatura mais baratos do HandyPay podem ter feito com que os operadores da campanha mudassem, em vez de aderir à s soluções prontas para uso existentes que custam mais de US$ 400 por mês. “Além do preço, o HandyPay não requer nativamente nenhuma permissão, apenas para se tornar o aplicativo de pagamento padrão, ajudando os atores da ameaça a evitar levantar suspeitas”, destacou a empresa.
Uma análise do artefato revelou a presença de emojis em mensagens de depuração e brinde, destacando a possÃvel utilização de um modelo de linguagem grande (LLM) para gerar ou modificar o código-fonte. Embora as provas conclusivas permaneçam indefinidas, o desenvolvimento alinha-se com uma tendência mais ampla de cibercriminosos que se apegam à inteligência artificial (IA) generativa para produzir malware, mesmo com pouco ou nenhum conhecimento técnico.
“Com o aparecimento de mais uma campanha NGate em cena, pode-se ver claramente que a fraude NFC está aumentando”, disse a ESET. “Desta vez, em vez de usar uma solução estabelecida como NFCGate ou MaaS em oferta, os agentes da ameaça decidiram trojanizar o HandyPay, um aplicativo com funcionalidade de retransmissão NFC existente.”
“Os agentes da ameaça pegaram o aplicativo, que é usado para retransmitir dados NFC, e corrigiram-no com código malicioso que parece ter sido gerado por IA”, disse o pesquisador de segurança da ESET, Lukáš Å tefanko, em um relatório compartilhado com o The Hacker News. “Tal como acontece com as iterações anteriores do NGate, o código malicioso permite que os invasores transfiram dados NFC do cartão de pagamento da vÃtima para o seu próprio dispositivo e os utilizem para saques em caixas eletrônicos sem contato e pagamentos não autorizados.”
Além disso, a carga maliciosa é capaz de capturar o PIN do cartão de pagamento da vÃtima e exfiltrá-lo para o servidor de comando e controle (C2) do agente da ameaça.
O NGate, também conhecido como NFSkate, foi documentado publicamente pela primeira vez pelo fornecedor de segurança cibernética eslovaco em agosto de 2024, detalhando sua capacidade de realizar ataques de retransmissão para desviar dados de pagamento sem contato das vÃtimas com o objetivo de realizar transações fraudulentas.
Um ano depois, a empresa holandesa de segurança móvel ThreatFabric detalhou uma ameaça de codinome RatOn que usava aplicativos dropper que se faziam passar por versões do TikTok para adultos para implantar o NGate para realizar ataques de retransmissão NFC.
A versão mais recente do NGate detectada pela ESET tem como alvo principal usuários no Brasil, marcando a primeira campanha desse tipo a destacar o paÃs sul-americano. O aplicativo HandyPay trojanizado é distribuÃdo por meio de sites disfarçados de Rio de Prêmios, uma loteria administrada pela organização lotérica do estado do Rio de Janeiro, e uma página de listagem da Google Play Store para um suposto aplicativo de proteção de cartão.
O falso site de loteria busca convencer um usuário a tocar em um botão para enviar uma mensagem do WhatsApp para reivindicar o prêmio em dinheiro, momento em que ele é direcionado a provavelmente baixar a versão envenenada do aplicativo HandyPay. Independentemente do método usado, o aplicativo pede para ser definido como o aplicativo de pagamento padrão após a instalação.
Em seguida, a vÃtima é solicitada a inserir o PIN do cartão de pagamento no aplicativo e tocar o cartão na parte de trás do smartphone habilitado para NFC. Assim que esta etapa é realizada, o malware abusa do HandyPay para capturar e retransmitir os dados do cartão NFC para um dispositivo controlado pelo invasor, permitindo-lhes usar as informações roubadas para fazer saques de dinheiro em caixas eletrônicos.
Estima-se que a campanha ativa tenha começado por volta de novembro de 2025. A versão maliciosa do HandyPay nunca foi disponibilizada na Google Play Store, o que significa que os invasores estão usando os métodos mencionados acima como mecanismos de entrega para induzir usuários desavisados a baixá-los. Desde então, HandyPay lançou uma investigação interna sobre o assunto.
A ESET observou que os preços de assinatura mais baratos do HandyPay podem ter feito com que os operadores da campanha mudassem, em vez de aderir à s soluções prontas para uso existentes que custam mais de US$ 400 por mês. “Além do preço, o HandyPay não requer nativamente nenhuma permissão, apenas para se tornar o aplicativo de pagamento padrão, ajudando os atores da ameaça a evitar levantar suspeitas”, destacou a empresa.
Uma análise do artefato revelou a presença de emojis em mensagens de depuração e brinde, destacando a possÃvel utilização de um modelo de linguagem grande (LLM) para gerar ou modificar o código-fonte. Embora as provas conclusivas permaneçam indefinidas, o desenvolvimento alinha-se com uma tendência mais ampla de cibercriminosos que se apegam à inteligência artificial (IA) generativa para produzir malware, mesmo com pouco ou nenhum conhecimento técnico.
“Com o aparecimento de mais uma campanha NGate em cena, pode-se ver claramente que a fraude NFC está aumentando”, disse a ESET. “Desta vez, em vez de usar uma solução estabelecida como NFCGate ou MaaS em oferta, os agentes da ameaça decidiram trojanizar o HandyPay, um aplicativo com funcionalidade de retransmissão NFC existente.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #campanha #ngate #tem #como #alvo #o #brasil #e #trojan #o #handypay #para #roubar #dados #nfc #e #pins
🎉 Obrigado por acompanhar, até a próxima notÃcia!
Postar um comentário