NGate 恶意软件木马化 HandyPay 应用以窃取巴西NFC数据

执行摘要

一种新的Android恶意软件家族NGate变种正在通过木马化合法的HandyPay NFC应用程序，在巴西积极窃取支付卡数据和PIN。根据ESET研究员Lukáš Štefanko的说法，威胁行为者用看似由AI生成的恶意代码修补了合法应用程序。该活动已感染超过220,000台设备，主要针对巴西用户，以收集敏感的NFC交易数据用于金融欺诈。

技术分析

被识别为NGate新迭代的恶意软件滥用HandyPay应用程序，该应用程序旨在为合法目的中继NFC数据。威胁行为者修改了应用程序的APK文件，注入了捕获并泄露NFC交易中敏感信息的恶意模块。ESET的分析表明，注入的代码显示出与AI生成源代码一致的模式，尽管研究人员没有指定使用的确切AI工具或方法。木马化的应用程序保持其原始功能以避免用户怀疑，同时在后台作为数据窃取有效载荷运行。一旦安装，恶意软件就可以访问NFC数据流，允许其拦截支付卡详细信息，包括用户在交易期间输入的轨道数据和相关PIN。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

主要技术是木马化一个合法、受信任的应用程序（HandyPay）来分发恶意软件（T1574.002:劫持执行流程）。恶意代码直接注入到应用程序的APK中。恶意软件滥用android.permission.NFC权限来捕获无接触支付数据（T1429:捕获音频/视频）。使用可能由AI生成的代码来创建恶意补丁表明，试图混淆有效载荷并逃避基于签名的检测。该活动依赖于用户从非官方来源或第三方应用商店下载恶意应用程序，因为木马化版本不会出现在官方的Google Play商店中。

威胁行为者背景

此次活动背后的威胁行为者被识别为恶意软件家族名称“NGate”。这不是与此恶意软件相关的第一次活动；之前的报告详细说明了NGate使用AI来逃避木马化NFC应用程序的检测。当前行动展示了战术的转变，特别是放弃了以前使用的NFCGate应用程序，转而使用HandyPay。持续针对NFC支付系统和巴西地区的攻击表明，这是一个专门从事支付卡欺诈的财务动机团体。纳入AI生成的代码指向技术能力的演变，尽管其在逃避检测方面的实际效果尚不清楚。

缓解措施与建议

用户应仅从官方应用商店（如Google Play）安装应用程序，这些商店具有更严格的安全审查流程。特别是那些有员工前往或驻扎在巴西的组织，应教育用户了解从第三方来源侧载应用程序的风险。应部署移动安全解决方案以检测木马化应用程序和异常的NFC数据访问。与NFC相关的应用程序的开发人员应实施代码完整性检查，并考虑使用应用程序认证服务来验证其软件未被修改。HandyPay开发人员应发布公开警告，并与分发平台合作，移除恶意副本。