Felbukkant egy új variáns az NGate androidos kártevőből, amely egy ismert mobilos fizetési szolgáltatás, a HandyPay trójai változatát rejti.
Mint a Bleeping Computer kifejti, az NGate-et 2024 közepén fedezték fel a szakemberek; az akkori változatának célja fizetési információk ellopása volt. Az ESET biztonsági kutatói által kiszúrt új variáns a HandyPayt használja arra, hogy hitelesnek tűnjön – az alkalmazást azonban kártékony kóddal fertőzték meg, hogy adatokat lopjanak az áldozatok eszközeiről.
A kutatók úgy találták, hogy az új NGate-változat kódjában emojik (!) is találhatók, ami arra enged következtetni, hogy a fejlesztéséhez AI-t is használtak.
A HandyPay 2021 óta elérhető a Play Áruház kínálatában, és
lehetővé teszi az NFC-alapú adatátvitelt eszközök között – ezt használja ki a kártevő a bankkártyaadatok ellopásához.
Az ESET szakemberei úgy vélik, hogy a HandyPay használata csaliként valószínűleg pénzügyi okokra vezethető vissza, ez a szolgáltatás ugyanis – szemben a hasonló riválisaival – elég olcsón használható. Ráadásul az app nem kér semmiféle hozzáférést, csak azt, hogy az alapértelmezett fizetési szolgáltatás lehessen. Így a gyanút is elkerülhetik a támadók.
A kutatók szerint a legújabb NGate-kampány 2025 novembere óta aktív, és jellemzően csalárd, hamis play áruházas oldalakkal terjesztik. Telepítés után az app azonnal kéri, hogy alapértelmezett NFC fizetési szolgáltatás lehessen, majd elkéri a kártyája PIN-kódját. Arra is megkéri, hogy érintse a kártyáját a mobilhoz az adatok leolvasásához.
Ezután a gyűjtött adatok mindegyikét elküldi a fertőzött app a támadó e-mail-címére.
A megelőzés egyszerű: soha ne töltsön le alkalmazásokat gyanús, ismeretlen forrásból, például hirdetésekből. Hagyatkozzon inkább a Play Áruház kínálatára – azon is belül a megbízható, ismert fejlesztők alkalmazásaira.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
