Pesquisadores de segurança detectaram uma nova campanha do malware Android NGate. Desta vez, os atacantes modificaram o aplicativo legítimo HandyPay, projetado para transmitir dados NFC, para incluir código malicioso. O trojan resultante rouba informações sensíveis de pagamentos contactless, como dados de cartões e PINs. A campanha tem como alvo usuários do Brasil e evidencia o uso de apps confiáveis para evitar detecções.
Modificação de APK e possível uso de IA no código malicioso 🤖
Os cibercriminosos pegaram o APK original do HandyPay e injetaram o módulo malicioso do NGate. O código adicionado apresenta características que sugerem ter sido gerado ou assistido por inteligência artificial, o que pode complicar sua análise estática. Uma vez instalado, o app trojanizado solicita permissões de acessibilidade para capturar dados NFC e os PINs inseridos pelo usuário, enviando-os para um servidor controlado pelos atacantes.
Seu telefone quer ser seu carteiro, mas só para os cibercriminosos 📮
É comovente ver como alguns aplicativos se esforçam tanto para ser úteis. O HandyPay, em sua nova versão melhorada, não se limita a transmitir seus dados de pagamento. Ele os envia diretamente para pessoas interessadas em outras partes do mundo, sem que você precise fazer nada. É um serviço de reenvio postal internacional gratuito, mas para suas informações bancárias. Um lembrete de que a loja oficial de apps é aquele site chato que você deveria usar.