Μία νέα παραλλαγή του κακόβουλου λογισμικού NGate, εντόπισε η ESET.
Η συγκεκριμένη εφαρμογή δρα σε Android και σχετίζεται με τη μεταφορά δεδομένων μέσω τεχνολογίας NFC, θέτοντας σε κίνδυνο κάρτες πληρωμών και ανέπαφες συναλλαγές.
Σύμφωνα με το Ερευνητικό Κέντρο της εταιρείας ESET, η εν λόγω παραλλαγή εκμεταλλεύεται τη νόμιμη εφαρμογή Android HandyPay.
Με την τροποποίηση της εφαρμογής μεταφοράς δεδομένων NFC, πέτυχαν να ενσωματώσουν κακόβουλο κώδικα, ο οποίος φαίνεται να έχει παραχθεί με τη συνδρομή τεχνητής νοημοσύνης.
Σε προγενέστερες εκδόσεις του NGate, το λογισμικό παρέχει τη δυνατότητα μεταφοράς δεδομένων NFC από την κάρτα πληρωμής του θύματος στη συσκευή των δραστών, επιτρέποντας την πραγματοποίηση ανέπαφων αναλήψεων μετρητών από ΑΤΜ, καθώς και μη εξουσιοδοτημένων συναλλαγών.
Επιπροσθέτως, το κακόβουλο λογισμικό δύναται να καταγράφει τους προσωπικούς αριθμούς αναγνώρισης (PIN) των καρτών πληρωμής και να τους διαβιβάζει σε διακομιστή εντολών και ελέγχου (C&C) που ελέγχεται από τους επιτιθέμενους. Αν και οι κύριοι στόχοι εντοπίζονται στη Βραζιλία, ενδείξεις καταδεικνύουν ότι οι επιθέσεις μέσω NFC επεκτείνονται σταδιακά και σε άλλες γεωγραφικές περιοχές.
Χρήση ΑΙ
Ιδιαίτερη σημασία παρουσιάζει η πιθανή αξιοποίηση τεχνητής νοημοσύνης για την ανάπτυξη του κακόβουλου κώδικα. Συγκεκριμένα, ο κώδικας που χρησιμοποιήθηκε για την εγκατάσταση του trojan στο HandyPay φέρει χαρακτηριστικά που παραπέμπουν σε χρήση εργαλείων τεχνητής νοημοσύνης (GenAI). Τα αρχεία καταγραφής περιλαμβάνουν, μεταξύ άλλων, σύμβολα (emoji) που θεωρούνται ενδεικτικά κειμένου παραγόμενου από συστήματα τεχνητής νοημοσύνης, γεγονός που υποδηλώνει πιθανή εμπλοκή μεγάλων γλωσσικών μοντέλων, χωρίς ωστόσο να υφίστανται μέχρι στιγμής αποδεικτικά στοιχεία.
Κατά την ESET, η εξέλιξη αυτή δείχνει ότι η τεχνητή νοημοσύνη διευκολύνει τη δράση κυβερνοεγκληματιών, να επεξεργάζονται λειτουργικά κακόβουλου λογισμικού και κατόπιν να τα προωθούν.
Τέλος, εκτιμάται ότι η διάδοση της τροποποιημένης έκδοσης του HandyPay ξεκίνησε στο τέλος του 2025 και παραμένει ενεργή έως σήμερα. Επισημαίνεται ότι η μολυσμένη έκδοση της εφαρμογής δεν διανεμήθηκε ποτέ μέσω του επίσημου καταστήματος εφαρμογών Google Play Store που είναι επίσης σημαντικό.
