كشف باحثون في الأمن السيبراني عن نسخة جديدة من عائلة برمجيات خبيثة على نظام أندرويد تُعرف باسم NGate، والتي استغلت هذه المرة تطبيقًا شرعيًا يُدعى HandyPay بدلًا من الأداة المعروفة NFCGate، وذلك بهدف سرقة بيانات الدفع عبر تقنية الاتصال قريب المدى (NFC) وأرقام التعريف الشخصية (PIN) الخاصة ببطاقات الدفع.
آلية الهجوم وتروجان HandyPay
وفقًا لتقرير الباحث الأمني لوكاش شتيفانكو من شركة ESET، قام المهاجمون بتضمين شيفرة خبيثة داخل تطبيق HandyPay، وهي شيفرة يُرجح أنها مولدة عبر الذكاء الاصطناعي. هذه الشيفرة تسمح بنقل بيانات بطاقة الدفع من جهاز الضحية إلى جهاز المهاجم، ليتم استخدامها في عمليات سحب نقدي من أجهزة الصراف الآلي أو لإجراء مدفوعات غير مصرح بها. الأخطر أن الحمولة الخبيثة قادرة أيضًا على التقاط رقم الـ PIN الخاص بالبطاقة وإرساله إلى خادم التحكم والسيطرة (C2) التابع للمهاجمين.
خلفية عن NGate وتطوراته
تم توثيق NGate لأول مرة في أغسطس 2024 من قبل شركة أمنية سلوفاكية، حيث أظهر قدرته على تنفيذ هجمات Relay لسرقة بيانات الدفع اللاسلكي. لاحقًا، في 2025، كشفت شركة ThreatFabric الهولندية عن حملة أُطلق عليها اسم RatOn استخدمت تطبيقات مزيفة شبيهة بـ TikTok لنشر NGate وتنفيذ هجمات مماثلة.
النسخة الأخيرة التي رصدتها ESET تستهدف بشكل أساسي المستخدمين في البرازيل، وهي المرة الأولى التي يُركز فيها هذا التهديد على دولة في أمريكا الجنوبية. التطبيق المزيف يتم توزيعه عبر مواقع إلكترونية تنتحل هوية موقع اليانصيب الرسمي “Rio de Prêmios”، وكذلك عبر صفحة مزيفة على متجر Google Play تدّعي أنها تطبيق لحماية البطاقات.
أساليب الخداع والتوزيع
المواقع المزيفة تحاول إقناع المستخدمين بالنقر على زر لإرسال رسالة عبر واتساب للحصول على جائزة مالية، ليتم توجيههم بعد ذلك لتحميل نسخة ملوثة من HandyPay. بعد التثبيت، يطلب التطبيق أن يكون هو التطبيق الافتراضي للدفع، ثم يطلب من المستخدم إدخال رقم الـ PIN وتمرير البطاقة على الهاتف المزود بتقنية NFC. بمجرد تنفيذ هذه الخطوات، يتم التقاط البيانات وإرسالها إلى جهاز المهاجم، مما يتيح له سحب الأموال مباشرة من أجهزة الصراف الآلي.
دوافع المهاجمين ودور الذكاء الاصطناعي
تشير ESET إلى أن أسعار الاشتراك المنخفضة في HandyPay ربما دفعت المهاجمين لاستخدامه بدلًا من حلول جاهزة تكلف أكثر من 400 دولار شهريًا. إضافة إلى ذلك، فإن التطبيق لا يطلب أذونات كثيرة، مما يقلل من الشبهات حوله. تحليل الشيفرة أظهر وجود رموز تعبيرية في رسائل التصحيح، وهو ما يعزز فرضية استخدام نماذج لغوية كبيرة (LLMs) لتوليد أو تعديل الشيفرة الخبيثة، في اتجاه يعكس اعتماد المجرمين على الذكاء الاصطناعي لتطوير البرمجيات الضارة حتى مع قلة خبرتهم التقنية.
دلالات أمنية على تصاعد الاحتيال عبر NFC
تؤكد هذه الحملة أن الاحتيال عبر تقنية NFC يشهد تصاعدًا ملحوظًا، حيث لم يعد المهاجمون يعتمدون فقط على أدوات معروفة مثل NFCGate أو خدمات “البرمجيات كخدمة” (MaaS)، بل اتجهوا إلى تروجان تطبيقات شرعية مثل HandyPay. هذا التطور يبرز الحاجة الملحة لتعزيز الوعي الأمني لدى المستخدمين، وتطوير آليات تحقق أكثر صرامة في أنظمة الدفع عبر الهواتف الذكية، خاصة في الأسواق الناشئة مثل البرازيل.
