NGate 恶意软件使用 AI 来躲避在木马化 NFC 应用中的检测

执行摘要

一种新的、更复杂的NGate Android恶意软件版本正在通过被木马化的近场通信（NFC）支付应用程序进行分发。根据CyberSecurity News的分析，恶意软件的作者似乎使用了人工智能来协助编写恶意代码，这一发展表明威胁行为者开发和混淆其工具的方式正在发生变化。这种被命名为NGate 2.0的恶意软件充当一个强大的信息窃取者，收集短信消息、联系人列表和加密货币钱包数据，同时采用先进技术来逃避检测。

技术分析

恶意软件以恶意Android应用程序包（APK）的形式分发，伪装成一个合法的NFC支付工具。一旦安装并启动，该应用程序请求广泛的权限，包括访问短信、联系人和通知。如果获得权限，恶意软件就会建立与其命令与控制（C2）服务器的连接。代码分析表明使用了AI生成的组件，CyberSecurity News报告称这有助于恶意软件的改进混淆和反分析能力。这些AI辅助的代码片段旨在使静态和动态分析对安全研究人员和自动化扫描工具更加困难。核心功能涉及从受感染的设备向攻击者控制的服务器外泄大量敏感用户数据。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

威胁行为者采用软件供应链攻击策略，通过木马化一个看似合法的NFC支付应用程序。主要技术是应用伪装（T1036.005）。恶意软件使用权限滥用（T1444）访问敏感数据，并建立通过HTTP/HTTPS的命令和控制（TA0011）。值得注意的程序变化是所谓的集成AI辅助代码开发，以增强逃避（T1027）和复杂化逆向工程。

威胁行为者背景

源材料没有将NGate 2.0活动归因于已知的威胁行为者或团体。最初的NGate恶意软件与专注于金融盗窃和数据收集的网络犯罪行动有关。采用AI辅助编码代表了对此类以财务为动机的行为者可用的技术能力的升级，降低了创建更具逃避性的恶意软件变体的障碍。

缓解措施与建议

用户应仅从官方应用商店（如Google Play）安装应用程序，尽管这并不能保证安全。要严格审查应用权限；一个支付应用请求访问短信或联系人是一个重要的危险信号。拥有BYOD（自带设备）政策的组织应考虑能够检测异常行为的移动威胁防御解决方案。安全研究人员和供应商应预期并开发检测越来越混淆的AI生成的代码模式在恶意软件中。