Исследователи безопасности обнаружили новую кампанию вредоносного ПО для Android NGate. На этот раз злоумышленники модифицировали легитимное приложение HandyPay, предназначенное для передачи данных NFC, чтобы включить в него вредоносный код. Получившийся троян крадет конфиденциальную информацию о бесконтактных платежах, такую как данные карт и PIN-коды. Кампания нацелена на пользователей в Бразилии и демонстрирует использование доверенных приложений для уклонения от обнаружения.
Модификация APK и возможное использование ИИ во вредоносном коде 🤖
Киберпреступники взяли оригинальный APK-файл HandyPay и внедрили в него вредоносный модуль NGate. Добавленный код имеет особенности, которые позволяют предположить, что он был сгенерирован или создан с помощью искусственного интеллекта, что может осложнить его статический анализ. После установки троянизированное приложение запрашивает разрешения специальных возможностей для перехвата данных NFC и PIN-кодов, вводимых пользователем, отправляя их на сервер, контролируемый злоумышленниками.
Ваш телефон хочет быть вашим почтальоном, но только для киберпреступников 📮
Трогательно наблюдать, как некоторые приложения так стараются быть полезными. HandyPay в своей новой улучшенной версии не ограничивается передачей ваших платежных данных. Оно отправляет их напрямую заинтересованным лицам в других частях света, без каких-либо усилий с вашей стороны. Это бесплатная международная служба пересылки почты, но для вашей банковской информации. Напоминание о том, что официальный магазин приложений — это то скучное место, которым вам стоит пользоваться.