Атаки на платёжные системы с использованием технологии NFC продолжают эволюционировать, становясь всё более изощрёнными и доступными для киберпреступников с низким уровнем технической подготовки. Специалисты исследовательского подразделения ESET обнаружили новую кампанию, в рамках которой злоумышленники троянизируют легитимное Android-приложение для ретрансляции данных бесконтактных карт, используя для внедрения вредоносного кода, вероятно, сгенерированные искусственным интеллектом инструменты. Эта активность, нацеленная на пользователей в Бразилии, позволяет преступникам не только перехватывать данные карт для несанкционированных снятий наличных, но и похищать ПИН-коды, значительно увеличивая потенциальный ущерб.
Описание
Новая вариация вредоносного ПО, известного как NGate, использует в качестве основы приложение HandyPay, доступное в официальном магазине Google Play. В отличие от предыдущих кампаний, где применялись открытый инструмент NFCGate или коммерческие наборы Malware-as-a-Service (модель распространения вредоносного ПО как услуги), злоумышленники взяли рабочее приложение и модифицировали его, добавив собственный вредоносный код. Ключевой особенностью этой модификации является высокая вероятность использования генеративного ИИ (GenAI) при её создании. Исследователи обнаружили в логиках кода эмодзи, типичные для текста, сгенерированного большими языковыми моделями (LLM). Это соответствует общей тенденции снижения порога входа в киберпреступность: теперь для создания функционального вредоносного ПО не обязательно обладать глубокими навыками программирования.
Кампания, по данным ESET, активна с ноября 2025 года и фокусируется исключительно на Бразилии. Распространение троянизированного приложения идёт по двум основным каналам. Первый - фишинговый сайт, имитирующий официальный портал бразильской лотереи Rio de Prêmios. На странице пользователю предлагается сыграть в скретч-карту, результат которой всегда предопределён как выигрыш в 20 000 бразильских реалов. Для получения "приза" жертве предлагается связаться с мошенниками через WhatsApp, после чего, вероятно, получает ссылку на вредоносное приложение. Второй канал - поддельная веб-страница, стилизованная под Google Play, где предлагается скачать приложение "Proteção Cartão" ("Защита карты"). Оба сайта размещены на одном домене, что указывает на одного оператора.
Функциональность вредоноса напрямую использует легитимные возможности HandyPay. Это приложение предназначено для безопасного обмена данными бесконтактной карты между устройствами, например, членами семьи. После установки троянизированной версии пользователю предлагается ввести ПИН-код своей карты и приложить её к смартфону с включённым NFC. Приложение, действительно, запрашивает права на установку по умолчанию для платёжных операций, что является стандартной процедурой. Однако модифицированный код выполняет скрытые действия: данные карты через инфраструктуру HandyPay перенаправляются на устройство, контролируемое злоумышленником, а ПИН-код отдельно экспфильтрируется на управляющий сервер злоумышленников по HTTP. Это позволяет преступникам не только совершать платежи, но и снимать наличные в банкоматах.
Выбор злоумышленников в пользу взлома HandyPay, а не покупки готового MaaS-набора, объясняется экономией. Стоимость подписки на коммерческие наборы вроде NFU Pay или TX-NFC составляет сотни долларов в месяц, в то время как HandyPay позиционирует свой функционал как условно-бесплатный, с "добровольным пожертвованием" около 10 евро в месяц. Кроме того, приложение изначально не запрашивает опасных разрешений, что помогает ему избежать подозрений со стороны бдительных пользователей и систем безопасности. Анализ сервера управления показал логи как минимум с четырёх скомпрометированных устройств в Бразилии, содержащие перехваченные ПИН-коды, IP-адреса и временные метки.
Важно подчеркнуть, что троянизированная версия HandyPay никогда не появлялась в официальном магазине Google Play. Исследователи уведомили как разработчика оригинального приложения, так и компанию Google, являясь партнёром App Defense Alliance. Пользователи Android защищены от известных версий этого вредоносного ПО с помощью Google Play Protect, включённого по умолчанию. Основной вектор заражения - это сторонние сайты, требующие от пользователя ручного разрешения на установку приложений из неизвестных источников, что является критически важным этапом в цепочке атаки.
Появление этой кампании наглядно демонстрирует растущую угрозу NFC-мошенничества. Злоумышленники не только осваивают новые регионы, такие как Бразилия, но и экспериментируют с методами, комбинируя ретрансляцию платёжных данных с функциями банковских троянов, такими как кража ПИН-кодов. Использование легитимных приложений в качестве основы и потенциальное применение ИИ для генерации вредоносного кода делают подобные атаки более скрытными и доступными для широкого круга преступников. Этот инцидент служит напоминанием об опасности установки приложений из неофициальных источников, даже если они маскируются под известные бренды или полезные сервисы.
Индикаторы компрометации
IPv4
- 104.21.91.170
- 108.165.230.223
Domains
- protecaocartao.online
SHA1
- 48a0de6a43fc6e49318ad6873ea63fe325200dbc
- 94af94ca818697e1d99123f69965b11ead9f010c
- a4f793539480677241ef312150e9c02e324c0aa2
